Gesichtserkennung: US-Ministerium räumt Hack sensibler Biometriedaten ein
Einem Dienstleister des Department of Homeland Security sind 184.000 Bilder aus einem biometrischen Pilotprogramm abgeflossen und im Darknet gelandet.
Unverschlüssele Festplatte beim CBP-Dienstleister.
(Bild: CBP)
Fotos aus einem Pilotprojekt zur automatisierten Gesichtserkennung sind im vorigen Jahr bei einem Auftragnehmer der Zoll- und Grenzschutzbehörde Customs and Border Protection (CBP) gestohlen und von einem Cybererpresser zum Teil im Darknet veröffentlicht worden. Das hat der Generalinspekteur des Department of Homeland Security, Joseph Cuffari, nun in einem Bericht bestätigt. Unter den Daten befanden sich Gesichtsbilder von Reisenden und Scans von Kfz-Kennzeichen.
Insgesamt entwendete der Angreifer laut der CBP-Untersuchung beim Dienstleister Perceptics 184.000 Aufnahmen. Mindestens 19 davon sollen später in Foren des digitalen Untergrunds aufgetaucht sein. Die CBP habe sensible personenbezogene Daten auf einem unverschlüsselten Speichergerät nicht angemessen geschützt, erläutert Cuffari. In dem Bericht findet sich dazu ein Foto einer externen Festplatte bei Perceptics, die unverschlüsselt gewesen sein soll.
Vertrauensschaden
"Dieser Vorfall könnte das Vertrauen der Öffentlichkeit in die Fähigkeit der Regierung beschädigen, biometrische Daten zu schützen", meinte Cuffari. Reisende könnten sich weigern, dem DHS zu erlauben, ihre Fingerabdrücke und Gesichter an US-Grenzpunkten zu erfassen und zu verwenden. Die Folge des Hacks und des damit einhergehenden öffentlichen Imageschadens könnten eine große Bedrohung für das DHS-Biometrieprogramm sein und so letztlich illegale Einreisen befördern.
Dem Bericht zufolge enthält die biometrische Datenbank des DHS Einträge von mehr als 250 Millionen Menschen und kann mehr als 300.000 Abgleiche pro Tag durchführen. Es handle sich um den größten biometrische Datenspeicher der US-Regierung, auf den neben dem DHS auch das Justiz- und das Verteidigungsministerium Zugriff hätten. Die EU baut derweil nach US-Vorbild eine eigene Biometrie-Superdatenbank auf, die Daten über 400 Millionen Personen aus Drittstaaten samt deren Fingerabdrücken und digitalen Gesichtsbilder für die automatisierte Erkennung enthalten soll.
US-Medien hatten über den Cyberangriff eines als Boris Bullet-Dodger bekannten Hackers auf Perceptics bereits im vorigen Jahr berichtet. Damals hatte das DHS aber noch behauptet, dass sensible Daten ins Darknet gewandert seien. Die CBP hatte sich damals geweigert, die von Bullet-Dodger geforderten 20 Bitcoin zu zahlen.
(anw)
