Buzz
Trong sự vội vã thu thập dữ liệu sinh trắc học từ du khách ở Hoa Kỳ, Cơ quan Hải quan và Biên phòng có vẻ đã bỏ qua các biện pháp bảo vệ cơ bản để bảo vệ nó. Một trong những nhà thầu phụ của nó gần đây đã bị xâm phạm, để lại ảnh của du khách và biển số xe trong tay của những kẻ tấn công.
The Washington Post đầu tiên báo cáo về sự kiện này, phạm vi đầy đủ vẫn không rõ. Nhưng vụ hack này đã đặt ra những câu hỏi nghiêm túc về sự đẩy mạnh về sinh trắc học của cơ quan đã gây tranh cãi từ trước. Quét nhận diện khuôn mặt trở nên thông thường hơn tại các sân bay; CBP muốn có nó ở 20 sân bay hàng đầu của Hoa Kỳ vào năm 2021.
“Chương trình CBP nên được đình chỉ trong khi điều tra,” Jeramie Scott, chuyên viên cấp cao tại Trung tâm Thông tin Quyền riêng tư Điện tử nói. “Cơ quan đơn giản không nên thu thập thông tin cá nhân nhạy cảm này nếu nó không thể bảo vệ nó.”
Vụ Hack
CBP từ chối tiết lộ tên nhà thầu phụ đã bị xâm phạm cho Post, nhưng có vẻ đã gửi một văn bản Microsoft Word có tiêu đề “Tuyên bố Công Khai của CBP Perceptics.” Tập tin Word mạnh mẽ gợi ý rằng Perceptics, có trụ sở tại Tennessee, sản xuất máy đọc biển số và có mối quan hệ lâu dài hàng thập kỷ với CBP, là nhà cung cấp liên quan.
Điều này trở nên hiển nhiên hơn khi bạn xem xét rằng một hacker tự gọi là “Boris Bullet-Dodger” đã đổ ra hàng trăm gigabyte dữ liệu bị đánh cắp từ Perceptics trên dark web vào tháng 5. Không rõ liệu vụ xâm phạm này, được báo cáo lần đầu bởi The Register, có phải là cùng một vụ mà CBP thừa nhận vào thứ Hai hay không. Sự kiện trước đó trở nên công khai vào ngày 23 tháng 5; CBP nói rằng họ phát hiện ra cơ sở dữ liệu của mình đã bị xâm phạm hơn một tuần sau.
“Vào ngày 31 tháng 5, 2019, CBP biết rằng một nhà thầu phụ, vi phạm chính sách của CBP và mà không có sự cho phép hoặc sự hiểu biết của CBP, đã chuyển bản sao của hình ảnh biển số và hình ảnh du khách được CBP thu thập đến mạng của công ty nhà thầu phụ,” cơ quan nói trong một tuyên bố. “Mạng của nhà thầu phụ sau đó bị xâm phạm bởi một cuộc tấn công mạng độc hại. Không có hệ thống CBP nào bị xâm phạm.”
Perceptics không phản hồi sau khi được yêu cầu để bình luận. Nhưng bất kể từ nhà cung cấp cụ thể nào là nguyên nhân của vụ việc, kết quả cuối cùng là giống nhau.
Ai bị ảnh hưởng?
CBP đã cung cấp rất ít thông tin về số người bị ảnh hưởng, một sự thiếu sót lo lắng về việc tiết lộ thông tin. Ngay cả không rõ chính xác loại dữ liệu nào—và liệu nó có mở rộng đến sinh trắc học ngoài ảnh hay không—cơ sở dữ liệu chứa. Trong khi CBP nói "không có dữ liệu hình ảnh nào được xác định trên Dark Web hoặc internet,” việc đổ dữ liệu của Perceptics bị hack chỉ vài tuần trước không mang lại nhiều sự tin tưởng rằng vụ việc này đã được kiểm soát, hoặc sẽ được giữ nguyên như vậy.
Nói một cách ngắn gọn, chỉ có CBP, một nhà thầu phụ không tên, và những người thực hiện vụ hack mới biết đầy đủ phạm vi của vụ việc này.
Tình hình này có đáng lo ngại không?
Không có thêm sự rõ ràng về nội dung của cơ sở dữ liệu cụ thể này, khó để khẳng định về tác động ở mức cá nhân. Có lẽ khá tồi tệ! Và về nguyên tắc, đây gần như là kịch bản tồi tệ nhất.
Việc CBP không bị hack trực tiếp không làm tình hình trở nên tốt đẹp hơn. Trên thực tế, có thể nói rằng điều này làm tình hình trở nên tồi tệ hơn; cơ quan này để một bên thứ ba truy cập vào dữ liệu cực kỳ nhạy cảm, và không đảm bảo rằng các biện pháp an ninh thích hợp đã được thiết lập. Việc xử lý một cơ sở dữ liệu hình ảnh của công dân tư nhân mà nó không quan tâm giống như một tài liệu Microsoft Word nên kích động những chiếc chuông báo lớn.
“CBP yêu cầu tất cả các nhà thầu và nhà cung cấp dịch vụ duy trì kiểm soát tích dữ liệu và an ninh mạng thích hợp và tuân thủ tất cả các quy trình thông báo và biện pháp khắc phục vụ sự cố,” cơ quan nói trong tuyên bố của mình. “CBP đối mặt với trách nhiệm bảo mật và quyền riêng tư rất nghiêm túc và yêu cầu tất cả các nhà thầu làm như vậy.” Đó là một tâm trạng tốt; nhưng thực tế của vụ án chứng minh điều đó không đúng.
Vụ việc cũng xảy ra vào một thời điểm khi quy định nhận diện khuôn mặt đã đạt được sự ủng hộ đa phương tiện, sau nhiều năm tự do kiểm soát tương đối ở cả lĩnh vực công và tư.
“Sự kiện này nhấn mạnh thêm nhu cầu phải làm chậm lại những nỗ lực này và Quốc hội cần điều tra về các thực hành dữ liệu của cơ quan,” Neema Singh Guliani, cố vấn pháp lý cấp cao tại Hội đồng Quyền tự do Dân sự Mỹ, nói trong một tuyên bố. “Cách tốt nhất để tránh việc rò rỉ dữ liệu cá nhân nhạy cảm là không thu thập và giữ lại dữ liệu đó từ đầu.”
Có thể đã quá muộn cho những nạn nhân của vụ rò rỉ dữ liệu này, nhưng đã đến lúc giúp hạn chế thiệt hại trước khi vụ hack tiếp theo xảy ra.
Những bài viết tuyệt vời khác từ Mytour
- Nhiều @thách thức: Băng nhóm hacker đã định rõ một kỷ nguyên
- Sự trở lại của tin tức giả mạo—và những bài học từ rác thư
- Năng suất và niềm vui từ việc làm mọi thứ theo cách khó khăn
- Một chiếc lốp mới khiến lái xe điện trở nên yên tĩnh như nó nên có
- Sứ mệnh để tạo ra một con bot có khả năng ngửi như một chú chó
- 💻 Nâng cấp trò chơi làm việc của bạn với những chiếc laptop, bàn phím, giải pháp thay thế gõ, và tai nghe chống ồn mà đội Gear yêu thích
- 📩 Muốn thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới nhất và tuyệt vời nhất của chúng tôi
