海關與邊境保護局(CBP)10日證實,部門聘用的服務承包商處置數據不當,電腦系統又遭駭客入侵,導致CBP收集的出入境旅客和車牌照片外洩。
綜合《華盛頓郵報》與CNN報道,CBP公布消息時形容,部門上月31日收到消息,分包商先把CBP收集的旅客和車牌照片副本轉移到公司自己的網絡系統,系統隨後遭到惡意網絡攻擊。
CBP表示,承包商拷貝並轉移資料副本的行為,違反了合約中的強制安全措施和私隱協議條款,CBP事前並不知情。聲明強調,CBP重視私隱和網絡安全責任,要求所有承包商也履行同樣責任,目前CBP已把事件知會國會,並與執法機關和網絡安全機構合作調查,以確定資料外洩程度,然後適切回應。
CBP日常使用機場和陸路入境口岸的相機和錄像機,拍攝旅客的樣貌和出入境汽車的車牌,作為面部辨識系統的一部分,以此追蹤出入境人士的身分。部門每天平均處理超過100萬人次的出入境旅客,當中包括69萬人次的陸路入境旅客。官方強調,CBP本身的系統未被入侵,機場的監察運作未受事件影響,但未透露外洩的圖像數量和確實類型。雖然政府表示,外洩資料尚未出現在暗網(dark web)或互聯網上,但英國科技網站The Register報道,有大量來自Perceptics公司的違規數據,可在暗網上免費下載。
CBP未說明是哪家承包商外洩數據,但根據部門向媒體發出的聲明,檔案標題為《CBP Perceptics公開聲明》,換言之涉事公司的名字與暗網上的相符。而CBP發言人拒絕證實Perceptics是否外洩源頭,Perceptics未作回應。
外界質疑CBP擴大入境監控措施可能威脅國民私隱,連累無辜民眾的個人資料被盜。參議員懷登(Ron Wyden)表示,政府既向民眾收集敏感資料,就有責任保護資料,這次CBP應通知受影響的民眾,政府也應制定預防措施,防止事件重演。
公民權益和私隱權益組織表示,事件顯示政府收集民眾個資的資料庫,已成為駭客和網絡犯罪分子的攻擊目標。美國公民自由聯盟(ACLU)認為,要防止敏感個資外洩,最佳方法是不收集和不保留。本報訊