Vertrauliche Sicherheitsprotokolle für Einrichtungen des US-amerikanischen Zoll- und Grenzschutzes (CBP) in Kingsville, Texas, wurden durch eine Karteikarte auf Quizlet, einer Online-Lernplattform, öffentlich zugänglich gemacht. Das Set mit dem Titel „USBP Review“ enthielt offensichtliche Zugangscodes für bestimmte Eingänge zu Einrichtungen, detaillierte Verfahren bei Einwanderungsdelikten und interne organisatorische Informationen der Behörden. Obwohl das Set nach der Kennzeichnung durch WIRED privat gemacht wurde, wirft seine vorherige Verfügbarkeit ernsthafte Fragen zur Datensicherheit innerhalb des CBP und verwandter Behörden auf.
Der Verstoß und seine Details
Die durchgesickerten Karteikarten enthielten explizite vierstellige Kombinationen, die angeblich zum Öffnen von Kontrollpunkttüren und zum Zutritt zu gesperrten Toren verwendet wurden. Auf anderen Karten sind die spezifischen Anklagen des Bundes wegen Verstößen gegen die Einwanderungsbestimmungen sowie Anweisungen zum Ausfüllen der entsprechenden Formulare aufgeführt. Das Set beschrieb auch das Einsatzgebiet der Agentur – eine 1.932 Quadratmeilen große Zone über sechs Landkreise – und identifizierte elf CBP-„Türme“ in der Region, von denen einige den Toren entsprechen, für die Zugangscodes bereitgestellt wurden.
Die Karteikarten enthüllten außerdem Einzelheiten eines internen Systems namens „E3 BEST“, das zur Untersuchung und Beurteilung sekundärer Überweisungen an USBP-Kontrollpunkten verwendet wird, indem Personen und Fahrzeuge über mehrere Strafverfolgungsdatenbanken abgefragt werden.
Breitere Darstellung von Schulungsmaterialien
Der Vorfall ist kein Einzelfall. WIRED hat weitere Quizlet-Sets gefunden, die offenbar von Rekruten der Einwanderungs- und Zollbehörde (ICE) und des Department of Homeland Security (DHS) erstellt wurden. Ein ICE-Set mit dem Titel „ICE Detention Standards and Procedures for Deportation Officers“ enthielt grundlegende Betriebsanweisungen, während ein anderes DHS-Set, „DHS Insider Threat Training Test Out“, offenbar einen Lösungsschlüssel für interne Schulungsmaterialien enthielt.
Ein anderer Benutzer hat über sechzig Lernkartensätze zum US-amerikanischen Einwanderungsrecht und zum spanischen Wortschatz hochgeladen. Einige davon enthielten Funkcodes, Grenzschutzalphabete und sogar direkte Übersetzungen von Wörtern wie „Waffe“ und „Bundesagent“. Die endgültigen Sätze enthielten Sätze aus Rekrutierungsvideos des DHS, wie „die Nation“, „die Sicherheit“ und „das Heimatland“.
Kontext und Implikationen
Dieses Leck erfolgt inmitten eines rasanten Einstellungsschubs bei CBP und ICE, wo neuen Agenten Rekrutierungs- und Bindungsanreize von bis zu 60.000 US-Dollar angeboten werden. Die Verwendung von Karteikarten als Schulungsinstrument ist zwar nicht grundsätzlich problematisch, verdeutlicht jedoch das Risiko, dass sensible Informationen digitalisiert und möglicherweise offengelegt werden. Dies deutet auch auf einen möglichen Mangel an robusten Sicherheitsmaßnahmen für interne Schulungsmaterialien hin.
Die Tatsache, dass dieser Verstoß von einem Journalisten und nicht von internen Sicherheitsprotokollen entdeckt wurde, unterstreicht eine kritische Schwachstelle bei der operativen Aufsicht. Das Potenzial für böswillige Akteure, diese Art öffentlich zugänglicher Daten auszunutzen, ist erheblich, und der Vorfall wirft Fragen zum Überprüfungsprozess für neue Mitarbeiter und zum Umgang mit vertraulichen Behördeninformationen auf.
Letztendlich ist das Leck eine deutliche Erinnerung daran, dass selbst scheinbar harmlose Plattformen zu Kanälen für Sicherheitsverletzungen werden können. Der Vorfall erfordert eine gründliche Überprüfung der internen Protokolle des CBP, um eine künftige Offenlegung sensibler Daten zu verhindern.
