Les photos volées

Un sous-traitant américain des douanes et de la protection des frontières a subi une violation de données qui a dévoilé les photos de dizaines de milliers de voyageurs entrant et sortant des États-Unis, a révélé l'agence lundi, dans ce qu'elle a qualifié de "cyberattaque malveillante". La base de données d'identification des photos de voyageurs et des images de plaques d'immatriculation a été transférée à un réseau de sous-traitants du CBP sans l'autorisation ou la connaissance de l'agence fédérale, a expliqué le CBP. Le réseau du sous-traitant a ensuite été piraté, bien que CBP ait déclaré que ses propres systèmes n'avaient pas été compromis. Les photos compromises ont été prises de voyageurs dans des véhicules entrant et sortant des États-Unis par des voies spécifiques à un seul port d'entrée sur une période d'un mois et demi. Selon un responsable de l'application des lois, moins de 100 000 personnes ont vu leurs informations compromises par l'attaque. Aucune autre information d'identification n'a été incluse avec les photos et aucun passeport ou autre photo de document de voyage n'a été compromis, a déclaré le responsable. Les images des passagers aériens du processus d'entrée et de sortie de l'air n'étaient pas non plus concernées. La cyberattaque intervient dans le cadre du déploiement en cours du `` système d'entrée-sortie œbiométrique '' du CBP, l'initiative du gouvernement visant à vérifier biométriquement l'identité de tous les voyageurs traversant les frontières américaines. Comme BuzzFeed News l'a rapporté plus tôt cette année, le CBP s'efforce de mettre en œuvre l'initiative dans le but d'utiliser la technologie de reconnaissance faciale sur «œ100 pour cent de tous les passagers internationaux», y compris les citoyens américains, dans les 20 meilleurs aéroports américains d'ici 2021. Et il le fait donc, en l'absence de vérification appropriée, de garanties réglementaires et de ce que les défenseurs de la vie privée disent être au mépris de la loi, a constaté BuzzFeed News. «œ Il n'aurait jamais dû être possible de télécharger une base de données comme celle-ci sur des serveurs gouvernementaux.» En mai, The Register a signalé que Perceptics, le fabricant de lecteurs de plaques d'immatriculation de véhicules utilisés par le gouvernement américain et les villes pour identifier et suivre les citoyens, voyage entreprise avait été piraté et que ses fichiers avaient été vidés en ligne. Le CBP n'a pas répondu aux questions de BuzzFeed News demandant si la violation annoncée aujourd'hui par l'agence américaine et le hack Perceptics sont liés. Perceptics n'a pas immédiatement répondu à une demande de commentaire. "Cette violation survient juste au moment où le CBP cherche à étendre son énorme appareil de reconnaissance faciale et la collecte d'informations sensibles auprès des voyageurs, y compris les informations de plaque d'immatriculation et les identifiants de réseaux sociaux", a déclaré Neema Singh Guliani, avocate de l'American Civil Liberties Union, dans un communiqué . "Cet incident souligne encore la nécessité de freiner ces efforts et que le Congrès enquête sur les pratiques de l'agence en matière de données. La meilleure façon d'éviter les violations de données personnelles sensibles est de ne pas collecter et conserver ces données en premier lieu." "œUne très bonne raison pour laquelle les bases de données qui respectent la loi" et sensibles à la vie privée, comme celle-ci, devraient être entièrement gouvernementales et non soumises à des entrepreneurs ou sous-traitants ", a déclaré Theresa Brown, une ancienne conseillère du CBP qui dirige désormais la politique d'immigration à la Centre de politique bipartite. «œ Il n'aurait jamais dû être possible de télécharger une base de données comme celle-ci sur des serveurs gouvernementaux.» Dans son annonce de lundi, le CBP n'a pas mentionné le nom du sous-traitant, combien de personnes ont été affectées par la violation et si la violation a touché principalement des citoyens américains ou des non-citoyens. Les législateurs et les membres du personnel du Congrès ont été informés de la violation samedi. Bennie Thompson, président du House Homeland Security Committee, a déclaré qu'il tiendrait des audiences sur la façon dont le DHS utilise les informations biométriques le mois prochain. «œL'utilisation par le gouvernement d'informations biométriques et personnelles ne peut être un outil précieux que s'il est utilisé correctement. Malheureusement, il s'agit de la deuxième violation majeure de la vie privée au DHS cette année ", a-t-il déclaré." Nous devons nous assurer de ne pas étendre l'utilisation de la biométrie au détriment de la vie privée du public américain. " Lisez la déclaration complète du CBP ci-dessous: Déclaration des douanes et de la protection des frontières des États-Unis Accès non autorisé aux données CBP 10 juin 2019 Le 31 mai 2019, CBP a appris qu'un sous-traitant, en violation des politiques de CBP et sans l'autorisation ou la connaissance de CBP, avait transféré des copies des images de plaques d'immatriculation et des images de voyageurs collectées par CBP vers le réseau de l'entreprise du sous-traitant. Le réseau du sous-traitant a ensuite été compromis par une cyberattaque malveillante. Aucun système CBP n'a été compromis. Les informations initiales indiquent que le sous-traitant a violé les protocoles obligatoires de sécurité et de confidentialité décrits dans son contrat. À ce jour, aucune des données d'image n'a été identifiée sur le Dark Web ou sur Internet. Le CBP a alerté les membres du Congrès et travaille en étroite collaboration avec d'autres organismes d'application de la loi et des entités de cybersécurité, et son propre Bureau de la responsabilité professionnelle pour enquêter activement sur l'incident. Le CBP travaillera sans relâche avec tous les partenaires pour déterminer l'étendue de la violation et la réponse appropriée. Le CBP a retiré du service tous les équipements liés à la violation et surveille de près tous les travaux du CBP par le sous-traitant. Le CBP exige que tous les sous-traitants et prestataires de services maintiennent des contrôles appropriés d'intégrité des données et de cybersécurité et suivent toutes les procédures de notification et de résolution des incidents.