即将发生的警方突击行动的详细战术计划、描述涉嫌犯罪和嫌疑人的机密警方报告,以及详细说明嫌疑人手机内容的法医提取报告。这些是从 ODIN Intelligence 的内部服务器中获取的大量数据缓存中的一些文件,ODIN Intelligence 是一家为警察部门提供应用程序和服务的科技公司,其网站在周末遭到黑客攻击和破坏。
违规背后的组织在 ODIN 网站上留下的消息中表示,在其创始人兼首席执行官埃里克麦考利驳回了 Wired 的一份报告后,他们对公司进行了黑客攻击,该报告发现该公司的旗舰应用程序 SweepWizard 被警方用来协调和计划多机构突袭,是不安全的,并且将有关即将进行的警察行动的敏感数据泄露到开放的网络上。
黑客还公布了该公司用于访问其云存储数据的 Amazon Web Services 私钥,并声称已经“粉碎”了该公司的数据和备份,但之前并未从 ODIN 的系统中窃取千兆字节的数据。
ODIN 为美国各地的警察部门开发和提供应用程序,例如 SweepWizard。该公司还开发了允许当局远程监控已定罪的性犯罪者的技术。但 ODIN 去年也因向当局提供 识别无家可归者的面部识别系统以及在营销中使用侮辱性语言而招致批评。
ODIN 的 McCauley 没有回复几封要求发表评论的电子邮件,但在向加州总检察长办公室提交的数据泄露披露中证实了黑客攻击。
该漏洞不仅暴露了 ODIN 自身的大量内部数据,还暴露了 ODIN 警察部门客户上传的数 GB 的机密执法数据。这一漏洞引发了对 ODIN 网络安全的质疑,也引发了对个人信息泄露的数千人(包括犯罪受害者和未被指控犯罪的嫌疑人)的安全和隐私的质疑。
被黑客攻击的 ODIN 数据的缓存被提供给DDoSecrets ,这是一个非营利性透明集体,为公众利益索引泄露的数据集,例如来自警察部门、政府机构、律师事务所和民兵组织的缓存。 DDoSecrets 联合创始人 Emma Best 告诉 TechCrunch,鉴于 ODIN 缓存中存在大量个人身份数据,该集体已将缓存的分发限制在记者和研究人员手中。
关于黑客或对违规行为负责的入侵者知之甚少。 Best 告诉 TechCrunch,违规的源头是一个名为“所有网络警察都是混蛋”的组织,该组织在污损信息中引用了这句话。
TechCrunch 审查了这些数据,其中不仅包括公司的源代码和内部数据库,还包括数千份警方档案。没有任何数据显示为加密。
一份由 TechCrunch 编辑的警方文件,其中包含因违规行为暴露的即将进行的突袭的全部细节。图片来源: TechCrunch(截图)
这些数据包括数十个文件夹,其中包含即将到来的突袭的完整战术计划,以及嫌疑人的面部照片、指纹和生物特征描述以及其他个人信息,包括突袭时可能在场的个人的情报,如儿童、同居者和室友,其中一些人描述为“没有犯罪 [inal] 历史”。许多文件被标记为“仅限执法机密”和“受控文件”,不得在警察局以外披露。
其中一些文件被标记为测试文件,并使用了假的军官名字,如“超人”和“美国队长”。但 ODIN 也使用了真实世界的身份,比如好莱坞演员,他们不太可能同意使用他们的名字。一份名为“弗雷斯诺房屋搜索”的文件没有任何标记表明该文件是对 ODIN 前置系统的测试,但表示突袭的目的是“找到一个可以住的房子”。
泄露的 ODIN 数据缓存还包含其用于监控性犯罪者的系统,该系统允许警察和假释官登记、监督和监控被定罪的罪犯。缓存中包含一千多份与被定罪的性犯罪者有关的文件,这些罪犯必须在加利福尼亚州登记,包括他们的姓名、家庭住址(如果未被监禁)和其他个人信息。
这些数据还包含有关个人的大量个人信息,包括警方用来识别或跟踪他们的监视技术。 TechCrunch 发现了几张截图,显示人们的脸与名为 AFR Engine 的面部识别引擎相匹配,AFR Engine 是一家为警察部门提供面部匹配技术的公司。一张照片似乎显示一名警官在另一名警官的手机摄像头前强行按住一个人的头。
其他文件显示警方使用 自动车牌阅读器,称为 ANPR,可以识别嫌疑人最近几天的驾车地点。另一份文件包含一名被定罪罪犯手机的全部内容——包括短信和照片,其内容是在罪犯缓刑期间的合规检查期间由取证提取工具提取的。一个文件夹包含警察互动的录音,其中一些可以听到警察使用武力的声音。
TechCrunch 联系了几个美国警察部门,他们的文件在被盗数据中被发现。没有人回应我们的评论请求。
ODIN 的网站在被污损后不久就下线了,截至周四仍无法访问。
如果您了解有关 ODIN Intelligence 漏洞的更多信息,请致电 +1 646-755-8849或通过电子邮件 [email protected] 与 Signal 和 WhatsApp 上的安全台联系。
ODIN Intelligence 的一次黑客攻击暴露了Zack Whittaker最初在TechCrunch上发布的大量警方突袭文件
原文: https://techcrunch.com/2023/01/21/odin-intelligence-breach-police-surveillance/