Конфіденційні протоколи безпеки для об’єктів митної та прикордонної служби США (CBP) у Кінгсвіллі, штат Техас, були публічно розкриті в наборі карток на Quizlet, онлайн-платформі для навчання. Набір, під назвою «USBP Review», містив передбачувані коди доступу до конкретних входів до об’єктів, докладні процедури при порушеннях імміграційного законодавства та внутрішню організаційну інформацію агентства. Хоча набір був зроблений приватним після того, як на нього звернув увагу WIRED, його попередня доступність викликає серйозні питання безпеки даних у CBP та пов’язаних агентствах.
Витік та її деталі
Витік карток включав явні чотиризначні комбінації, які нібито використовуються для відкриття дверей контрольно-пропускних пунктів і доступу до зачинених воріт. Інші картки містили конкретні федеральні звинувачення у порушеннях імміграційного законодавства, і навіть інструкції із заповнення відповідних форм. У наборі також описувалася операційна зона агентства — територія площею 1932 квадратних миль у шести округах — і було ідентифіковано одинадцять КПП CBP («веж») у регіоні, деякі з яких відповідають воротам, для яких були надані коди доступу.
Картки також розкрили деталі внутрішньої системи під назвою «E3 BEST», яка використовується для розслідування та винесення рішень щодо вторинних перевірок на КПП USBP шляхом запиту інформації про осіб та транспортні засоби у кількох базах даних правоохоронних органів.
Широке поширення навчальних матеріалів
Цей інцидент не є поодиноким випадком. WIRED виявив інші набори Quizlet, імовірно створені новобранцями Служби імміграційного та митного контролю (ICE) та Міністерства внутрішньої безпеки (DHS). Один набір ICE під назвою “Стандарти та процедури утримання в ICE для офіцерів депортації” містив базові оперативні інструкції, а інший набір DHS, “Тест на вихід із навчання з питань внутрішньої загрози DHS”, здавалося, містив ключ відповідей до внутрішніх навчальних матеріалів.
Ще один користувач завантажив понад шістдесят наборів карток, пов’язаних з імміграційним законодавством США та іспанською лексикою. Деякі з них містили радіокоди, алфавіти прикордонного контролю та навіть прямі переклади слів, таких як «зброя» та «федеральний агент». В остаточних наборах були фрази з відеороликів про набір в DHS, такі як “нація”, “безпека” та “батьківщина”.
Контекст та наслідки
Цей витік стався на тлі різкого збільшення найму в CBP та ICE, де новим агентам пропонуються стимули для найму та утримання у розмірі до 60 000 доларів. Використання карток як навчального інструменту, хоч і не є принципово проблематичним, підкреслює ризик того, що конфіденційна інформація буде оцифрована та потенційно розкрита. Це також вказує на можливу відсутність надійних заходів безпеки для внутрішніх навчальних матеріалів.
Той факт, що цей витік був виявлений журналістом, а не внутрішніми протоколами безпеки, наголошує на критичну вразливість в операційному контролі. Потенціал для зловмисників використовувати ці публічно доступні дані значний, і цей інцидент викликає питання про процес перевірки нових рекрутів та поводження з конфіденційною інформацією агентства.
Зрештою, витік є суворим нагадуванням про те, що навіть, здавалося б, нешкідливі платформи можуть стати каналами для зламування безпеки. Цей інцидент вимагає ретельного перегляду внутрішніх протоколів CBP для запобігання майбутнім витокам конфіденційних даних.
