Venduti per meno di 100 dollari su eBay i dati di migliaia di militari – “Il dispositivo a forma di scatola da scarpe, progettato per rilevare le impronte digitali ed eseguire scansioni dell’iride, è stato messo in vendita su eBay per 149,95 dollari”, scrive il New York Times, aggiungendo che un ricercatore della sicurezza tedesco, Matthias Marx, di dollari ne ha poi offerti con successo 68, e quando è arrivato a casa sua ad Amburgo, la potente macchina portatile ha rivelato di contenere più di quanto promesso” nella sua descrizione. Perché, in effetti, “la scheda di memoria del dispositivo conteneva i nomi, le nazionalità, le fotografie, le impronte digitali e le scansioni dell’iride di ben 2.632 persone”. Come è stato possibile? E a quali profili corrispondevano?
Secondo il Times, però, la maggior parte delle identità contenute nel database “provenivano dall’Afghanistan e dall’Iraq”, molti “erano noti terroristi e ricercati, ma altri sembravano essere persone che avevano lavorato con il governo degli Stati Uniti o semplicemente erano state fermate ai posti di blocco”. Tuttavia, i metadati sul dispositivo, chiamato Secure Electronic Enrollment Kit, o Seek II, hanno rivelato che era stato utilizzato l’ultima volta nell’estate del 2012 vicino a Kandahar, in Afghanistan. Annota a tale proposito in quotidiano americano che il dispositivo – parte del vasto sistema di raccolta biometrica costruito dal Pentagono negli anni successivi agli attacchi dell’11 settembre 2001 – “è un promemoria fisico” per cui le informazioni in possesso degli americani che sono stati in Afghanistan e in Iraq “continuano a vivere in modi non previsti dai loro creatori”.
La cosa poco chiara, ad ogni modo, è come il dispositivo sia potuto finire dai campi di battaglia in Asia a un sito di aste online. Ma una cosa è certa: i dati, che offrono descrizioni dettagliate delle persone oltre alla loro fotografia e ai dati biometrici, “potrebbero essere sufficienti per colpire persone sconosciute che hanno però collaborato con le forze militari statunitensi”, sottolinea il giornale, qualora cadessero in mani sbagliate.
Ed è per tutti questi motivi che Matthias Marx non ha messo le informazioni online né le ha condivise in formato elettronico, ma ha contattato un giornalista del Times in Germania chiedendogli di esaminare i dati con lui. Il risultato è che i dati biometrici sul Seek II sono stati raccolti presso i luoghi detenzione, durante i pattugliamenti e i controlli avviati dopo una serie di attentati ed esplosioni.
A parte questo particolare, il punto è che – come riferisce il Times – “nell’ultimo anno, il signor Marx con un piccolo gruppo di ricercatori del Chaos Computer Club, un’associazione europea di hacker, hanno acquistato sei dispositivi di acquisizione biometrici su eBay, la maggior parte per meno di 200 euro” euro, progettando di analizzarli per trovare eventuali vulnerabilità o falle e per capire anche se “i talebani avessero sequestrato tali dispositivi dopo l’evacuazione degli Stati Uniti dall’Afghanistan”.
Secondo la Defense Logistics Agency, che gestisce ogni anno lo smaltimento di milioni di dollari di materiale in eccesso del Pentagono, dispositivi come il Seek II e l’Hiide non avrebbero mai dovuto arrivare sul mercato aperto, tanto meno su un sito di aste online come eBay. Invece, tutti gli strumenti di raccolta biometrici dovrebbero essere distrutti sul posto quando non sono più necessari al personale militare, così come altri dispositivi elettronici che un tempo contenevano informazioni operative sensibili.
Ma quel che continua a rimanere poco chiaro è come i venditori di eBay abbiano ottenuto questi dispositivi.