Bộ An ninh Nội địa Mỹ (DHS) vừa thừa nhận một số dữ liệu trong chương trình thí điểm nhận dạng khuôn mặt đã bị tấn công bởi một nhà thầu phụ của Cơ quan Hải quan và Kiểm soát Biên giới Mỹ (CBP). Tệ hơn, nhiều trong số đó đã bị rò rỉ trên dark web vào năm ngoái.
Dữ liệu được thu thập bởi một công ty có tên Perceptics, trong đó chứa nhiều thông tin nhạy cảm của khách du lịch như khuôn mặt, biển số xe và thông tin chăm sóc sức khỏe. Toàn bộ những dữ liệu này đã được công khai trên Dark Web, dù trước đó DHS từng phủ nhận. Trong báo cáo mới công bố về vụ việc, Văn phòng Tổng thanh tra DHS thừa nhận rằng 184.000 hình ảnh đã bị đánh cắp và ít nhất 19 trong số đó đã được đưa lên Dark Web.
“CBP đã không bảo vệ đúng mực những dữ liệu nhạy cảm này. Trong quá trình thí điểm công nghệ nhận dạng khuôn mặt, thông tin được lưu trữ trên một thiết bị không được mã hóa. Sự cố có thể làm tổn hại lòng tin của công chúng vào khả năng của Chính phủ trong việc bảo vệ dữ liệu sinh trắc học, đồng thời khiến khách du lịch không muốn cho DHS nắm giữ và sử dụng dữ liệu sinh trắc học khi nhập cảnh vào lãnh thổ Hoa Kỳ”, báo cáo cho biết.
CBP sử dụng rất nhiều công nghệ xác định và theo dõi người nhập và xuất cảnh ở Mỹ. Camera ghi lại mọi ô tô, khuôn mặt di chuyển qua biên giới. Máy tính sẽ thu thập dữ liệu đó, xử lý và tìm kiếm những tên tội phạm, khủng bố… Theo báo cáo mới, cơ sở dữ liệu sinh trắc học của DHS “chứa kho dữ liệu sinh trắc học của hơn 250 triệu người và có thể xử lý hơn 300.000 giao dịch sinh trắc học mỗi ngày. Đây là kho lưu trữ sinh trắc học lớn nhất trong Chính phủ Liên bang Mỹ. DHS chia sẻ kho lưu trữ này với Bộ Tư pháp và Bộ Quốc phòng Mỹ”.
Một dự án quét sinh trắc học quy mô như vậy rất tốn kém, đòi hỏi một mạng lưới nhà thầu và nhà thầu phụ phức tạp. Một trong những nhà thầu đó là Perceptics, công ty xử lý hình ảnh khuôn mặt và xe chụp tại các trạm thu phí, camera trên đường cao tốc và cửa khẩu. Theo báo cáo của DHS, Perceptics đã làm dữ liệu khuôn mặt và biển số xe của nhiều người bị lộ trên Dark Web. Perceptics đã chuyển một số bản sao dữ liệu sinh trắc học của CBP, ví dụ hình ảnh, thông ty khách du lịch, sang mạng riêng của công ty.
Báo cáo của DHS cho biết Perceptics đã truy cập vào dữ liệu này mà không hề hay biết. Cuối năm 2019, DHS đã gặp phải sự cố lớn về quyền riêng tư, mạng của nhà thầu phụ này bị tấn công bởi một tin tặc có tên Boris Bullet-Dodger. Vào thời điểm đó, DHS đã phủ nhận việc dữ liệu khuôn mặt và biển số xe của nhiều người bị xuất hiện trên Dark Web. Nhưng thực tế việc đó đã xảy ra.
Theo báo cáo, một nhân viên của Perceptics đã có quyền truy cập vào trang web của CBP ở Anzalduas (Texas, Mỹ) bằng cách gửi yêu cầu CBP cho phép truy cập vào hệ thống để bảo trì camera. Vụ vi phạm xảy ra vào khoảng giữa tháng 8/2018 và tháng 1/2019. Sau khi truy cập vào, người nhân viên này đã kết nối ổ cứng gắn ngoài với máy tính CBP và tải hình ảnh xuống, sau đó tải chúng lên máy chủ của Perceptics.
Tháng 5/2019, Perceptics nhận được thông báo đòi tiền chuộc qua email từ Boris Bullet Dodger, yêu cầu 20 bitcoin trong vòng 72 giờ. Nếu không toàn bộ dữ liệu bị đánh cắp sẽ được tải lên dark web. Perceptics đã không trả tiền chuộc và hơn 9.000 tập tin đã bị tung lên dark web.
Sau khi biết tin, CBP đã rút thông tin đăng nhập của Perceptics và cấm công ty này tiếp tục làm việc với DHS. Tuy nhiên, lệnh tạm ngừng đã được dỡ bỏ từ ngày 26/9/2019, Perceptics có đủ điều kiện tham gia với tư cách là nhà thầu trong các quy trình của Liên bang Mỹ. Sau đó CBP và Perceptics đã ký kết thỏa thuận khắc phục những rủi ro về vụ vi phạm dữ liệu trong cuộc điều tra của CBP.
Văn phòng Tổng thanh tra (OIG) của DHS khuyến nghị tất cả đều tập trung thắt chặt an ninh và đảm bảo những sự cố tương tự không xảy ra lần nữa. Nhưng vấn đề cơ bản vẫn còn bất kể bảo mật CNTT tốt đến mức nào, ngày nào Đội tuần tra biên giới còn chụp ảnh mọi người qua biên giới và lưu trữ trên máy, ngày đó hệ thống còn có nguy cơ bị tấn công. Cách duy nhất đảm bảo sự cố tương tự không xảy ra nữa là không thu thập và lưu trữ dữ liệu.