Dass das US-Militär beim Abzug aus Afghanistan Geräte zur biometrischen Erfassung von Menschen zurückgelassen haben sollen, hat den Chaos Computer Club alarmiert. Dem CCC ist es dann laut eigenen Angaben gelungen, über Internet-Auktionen solche Geräte zu ersteigern, inklusive einer umfassenden Biometrie-Datenbank mit Namen, Fingerabdrücken, Iris-Scans und Fotos von 2632 Personen, teilen die CCC-Aktivisten mit.
Wie der CCC berichtet, haben sich die Mitglieder Matthias Marx, Snoopy, Starbug und md Informationen zu diesen Geräten beschafft und seien dabei auf mehrere Angebote bei einem Online-Auktionshaus gestoßen. Es sei dann gelungen, insgesamt vier Geräte des Typs SEEK II (Secure Electronic Enrollment Kit) und zwei Geräte des Typs HIIDE 5 (Handheld Interagency Identity Detection Equipment) zu ersteigern.
Die forensische Untersuchung sei geradezu langweilig verlaufen, heißt es weiter, weil sämtliche Datenträger unverschlüsselt gewesen seien und als Zugangsschutz lediglich ein gut dokumentiertes Standardpasswort diente. Auch bei der Datenbank mit den biometrischen Daten habe es sich um eine Standard-Datenbank mit Standard-Datenformaten gehandelt, die vollständig exportiert werden konnte.
Auf den verschiedenen Geräten haben die CCC-Mitglieder Namen und biometrische Daten zweier US-Militärs, GPS-Koordinaten vergangener Einsatzorte sowie die Biometrie-Datenbank mit Namen, Fingerabdrücken, Iris-Scans und Fotos der 2632 Personen gefunden. Das Gerät mit dieser Datenbank sei zuletzt Mitte 2012 irgendwo zwischen Kabul und Kandahar eingesetzt worden, berichtet der CCC.
“Der verantwortungslose Umgang mit dieser Risiko-Technologie ist unfassbar”, sagte Matthias Marx, der die CCC-Forschungsgruppe geleitet hat. Die Konsequenzen seien lebensbedrohlich für die vielen Menschen in Afghanistan, die von US- und Bundesregierung im Stich gelassen worden seien. “Uns ist unbegreiflich, dass es den Hersteller und die militärischen ehemaligen Nutzer nicht kümmert, dass gebrauchte Geräte mit sensiblen Daten online verhökert werden”, sagte Marx weiter.
Der CCC habe den Hersteller der SEEK-Geräte, Crossmatch Technologies (heute: HID Global), und zwei bekannte Nutzer der Geräte, das US Department of Defense und die deutsche Bundeswehr über die Schwachstelle informiert. Insbesondere habe man darauf hingewiesen, dass gebrauchte Geräte mit hochsensiblen Daten einfach im Internet bestellt werden können.
Von der Bundeswehr sei lediglich eine Empfangsbestätigung gekommen, das Department of Defense habe an den Hersteller verwiesen, und der Hersteller habe nichts unternommen. Zweieinhalb Monate nach dieser Meldung habe man ein weiteres Biometrie-Gerät online bestellen können.
Der Beitrag CCC ersteigert Biometrie-Datenbank des US-Militärs erschien zuerst auf Linux-Magazin.
Anmelden
