Det amerikanske byrået for toll og grensekontroll CBP (U.S. Customs and Border Protection) har bekreftet at bilder av ansikt og bilskilt til reisende inn og ut av USA er stjålet i et databrudd.
Bildene ble ifølge en talsperson for CBP stjålet i et ondsinnet dataangrep, etter å ha blitt overført til nettverket til en ikke navngitt underleverandør.
Dette melder Washington Post søndag, og er gjengitt i flere amerikanske medier.
CBP sier i en uttalelse at underleverandøren, uten autorisasjon og i strid med kontrakten, hadde overført kopier av bilder samlet inn i grensekontrollen til sitt nettverk.
Byrået håndterer mer enn en million reisende om dagen på vei inn i USA.
Ifølge byrået har færre enn 100.000 personer, gjennom få spesifikke kontrollpunkter ved ett bestemt grensepunkt, over en periode på halvannen måned. Ifølge CBP selv er ikke byråets eget nettverk påvirket av angrepet, og heller ikke kopier av passbilder eller andre reisedokumenter.
- Mer om ansiktsgjenkjenning: Slik bruker norske myndigheter ansiktsgjenkjenning (saken kan leses av abonnenter).
Bilskilt-foto på avveie uker før
Databruddet skjer bare uker etter data fra «Perceptics», en leverandør av bilskiltlesere til grensemyndighetene, ble rapportert lekket på det mørke nettet, noe grensemyndighetene bestrider.
Det er ikke kjent hvorvidt det finnes en sammenheng mellom de to hendelsene. Men ifølge Washington Post inneholdt et Word-dokument med grensemyndighetenes uttalelse «Perceptics» i tittelen, noe som indikerer en sammenheng.
Ifølge CBP er den amerikanske kongressen orientert om hendelsen og følger nå leverandørens arbeid tett.
– Merkelig timing
Sikkerhetsekspert og Immuniweb-grunnlegger Ilia Kolochenko påpeker i en uttalelse den merkelige timingen ved angrepet.
«Like etter den uberettigede overføringen av konfidensielle data til underentreprenørens nettverk, ble de plutselig hacket som om noen har sittet og ventet på dette. Selvfølgelig kan vi anta at underleverandøren allerede var hacket og har hatt en bakdør en stund, men dette setter CBP sin evne til å kontrollere leverandører som håndterer sensitive data i tvil», sier han i uttalelsen.
Den demokratiske senatoren Ron Wyden har uttalt at hendelsen burde være en lærepenge for de som har støttet å utvide landets statlige overvåkningspraksis, og påpeker at personlig informasjon om amerikanere er et velkjent mål hos angripere, skriver nettstedet Techcrunch.
- Ansiktsgjenkjenning i Norge: Dette har du rett til å vite om bruken av dine data (saken kan leses av abonnenter).
Passbilder spesielt verdifulle
Teknologisjef Nils-Ove Gamlem i Check Point Norge forteller at tyveri fra databaser foregår i stor skala.
– Vi ser opp til flere ganger daglig at databaser blir stjålet. En rapport viste nylig at 2,7 milliarder av verdens befolkning har fått data om seg på avveie eller har data om seg i en database som har blitt kompromittert, sier han, og påpeker samtidig at passbilder har en ekstra verdi, sier han.
– I motsetning til andre bilder er et passbilde ikke lett å få tak i andre steder. Å få et passbilde på avveie øker derfor risikoen og verdien for de som vil misbruke det, legger han til.
Det behøver ikke være et spesifisert motiv for hvordan opplysningene skal misbrukes når dataene stjeles, påpeker han.
– Vi vet at slik informasjon stjeles og samles inn for å selges på det mørke nettet til hvem som helst som er interessert — enten det er for økonomisk vinning eller å skjule kriminelle handlinger.
Fremmede stater kan stå bak
– Vi må gå utifra at det er bilder i kombinasjon med andre personopplysninger som er tatt. Isåfall kan denne informasjonen i praksis brukes til å lage et komplett ID-kort, sier teknologisjef Nils-Ove Gamlem i Check Point Norge.
– Stjålet ID-informasjon kan misbrukes til alt som krever at man legitimerer seg. Vi har sett at ID-tyveri brukes til alt fra å søke om lån eller å fiske ut kredittinformasjon fra banken, til å omdirigere post eller lage et falskt alibi ved å legge igjen elektroniske spor, sier han.
Gamlem mener det ikke er usannsynlig at et angrep på statlige databaser kommer fra fremmede statlige aktører eller hackergrupper sponset av fremmede stater. Han viser til at informasjon om deltakerne i Nato-øvelsen i Norge i fjor ble forsøkt stjålet av det som etter all sannsynlighet var en fremmed stat.
– Hvis man vet hvem som har tilgang på militære systemer, og kanskje også har sensitiv helseinformasjon om disse personene, kan disse presses, eksemplifiserer han.
Han påpeker at ID-opplysninger også kan brukes til å enklere forfalske eller manipulere pass og få uautorisert tilgang til et land.
- Erna Solberg: – Må regne med kyberangrep under Nato-øvelsen.
