Imagens de placas de carro e fotos de pessoas que entraram ou saíram dos Estados Unidos foram obtidas em um ataque hacker que atingiu o CBP (US Customs and Border Protection), o Escritório de Aduana e Proteção de Fronteiras dos EUA, segundo o Washington Post. A agência descobriu a brecha no mês passado, que ocorreu graças ao acesso indevido aos arquivos de um fornecedor de serviço, que não foi identificado.

O CBP culpou o fornecedor por não seguir as regras de segurança e privacidade do órgão e por não ter transferido as fotos para sua rede. Para se ter uma noção, a agência federal opera a base de dados de vistos e fotos de passaporte como parte de um sistema de reconhecimento facial utilizado em aeroportos americanos, apesar das críticas à privacidade e falhas de precisão da tecnologia. A agência processa dados de mais de 1 milhão de viajantes por dia e está cada vez mais próxima de usar reconhecimento facial em pelo menos 20 aeroportos, graças a uma ordem executiva de Trump.

Os detalhes exatos dos dados roubados, sua conexão com o sistema de reconhecimento facial e sua escala ainda não estão claros. O CBP não respondeu a perguntas sobre o assunto. O Departamento de Segurança Interna dos Estados Unidos também não identificou qual fornecedor foi hackeado.

No mês passado, a Perceptics, uma companhia que faz e vende licenças para placas de carro, foi hackeada. Os dados foram roubados e colocados à venda quase que imediatamente. Atualmente, não se sabe se este hack é separada da violação que o CBP anunciou.

Na segunda-feira, o Washington Post reportou que o CBP publicou um “documento do Microsoft Word, que foi enviado ao seus repórteres, em que o nome da ‘Perceptics’ é incluído no título”.

A Perceptics não respondeu imediatamente a um pedido de comentário.

O reconhecimento facial se tornou um ponto focal de um caloroso debate sobre privacidade e segurança. San Francisco proibiu recentemente o uso da tecnologia por agências governamentais e outros estados estão considerando ações semelhantes. Em um artigo no New York Times, o comissário do Departamento de Polícia de Nova York, James O’Neill, argumentou que o reconhecimento facial “torna você mais seguro”.

“O CBP descobriu que um subcontratado, em violação às políticas do CBP e sem autorização ou conhecimento do CBP, havia transferido cópias de imagens de placas e fotos de viajantes coletadas pelo CBP para a rede da empresa do subcontratado”, segundo um comunicado da agência federal ao TechCrunch. “As informações iniciais indicam que o subcontratado violou os protocolos obrigatórios de segurança e privacidade descritos em seu contrato”.

Aqui está o comunicado do CBP:

Em 31 de maio de 2019, o CBP soube que um subcontratado, em violação às políticas do CPB e sem autorização ou conhecimento do CBP, transferiu cópias de imagens de placas de carro e imagens de viajantes coletadas pelo CBP para a rede do subcontratado. A rede do subcontratado foi subsequentemente comprometida por um ciberataque malicioso. Nenhum sistema do CBP foi comprometido.

Informações iniciais indicam que o subcontratado violou protocolos obrigatórios de segurança e privacidade destacados no contrato dele. Até o momento, os dados não foram identificados na Dark Web ou pela Internet. O CBP alertou membros do Congresso e está trabalhando com outras agências de aplicação da lei e entidades de cibersegurança, e seu próprio Escritório de Responsabilidade Profissional está ativamente investigando o incidente. O CBP trabalhará com todos seus parceiros para determinar a extensão da brecha e a resposta apropriada.

O CBP removeu de seu serviço todos os equipamentos relatados na brecha e está monitorando de perto todo o trabalho de subcontratados do CBP. O CBP requer que todos os contratados e provedores de serviço mantenham controles apropriados de integridade de dados e de cibersegurança, além de seguir todas as notificações de resposta aos incidentes e procedimentos para remediação. O CBP leva muito a sério as responsabilidades de privacidade e cibersegurança e exige que todos os contratados façam o mesmo.