- Trust Stamp, que tiene un contrato de 7.2 millones de dólares con ICE para rastrear a migrantes, expuso los datos de docenas de personas en una violación de datos, según aprendió Insider.
- Las credenciales destinadas a los posibles clientes para probar Trust Stamp se lanzaron públicamente, dejando expuestos datos personales como nombres, direcciones y datos de licencias de conducir.
- La vulnerabilidad, que ha sido resuelta, no parecía exponer ningún dato de migrantes.
- ¿Ya conoces nuestra cuenta en Instagram? Síguenos.
Trust Stamp, un contratista del gobierno estadounidense que desarrolla herramientas de vigilancia y reconocimiento facial para agencias como el Servicio de Inmigración y Control de Aduanas (ICE, por sus siglas en ingles), dejó la información personal de varias docenas de personas sin protección en una base de datos violada, según descubrió Insider. Esta información incluía nombres, cumpleaños, domicilios y datos de la licencia de conducir.
Un informante anónimo que dijo ser un investigador de seguridad contactó a Insider y reveló la brecha. Insider confirmó la autenticidad de los datos con las personas nombradas en la fuga de datos. Trust Stamp luego confirmó la vulnerabilidad de seguridad y la violación a Insider.
En un correo electrónico a Insider, el CEO de Trust Stamp, Gareth Genner, dijo que la base de datos expuesta era para que los posibles clientes probaran su producto. Agregó que la mayoría de las entradas eran «datos claramente inventados», como «Heidi Sample» o «Test Alaska».
La mayoría de los cientos de entradas de usuarios expuestas en la violación eran de usuarios falsos como parte de una llamada aplicación de demostración, descubrió el investigador de seguridad; sin embargo, varias docenas de entradas eran de personas reales. Insider autenticó de forma independiente la información de estas personas como precisa.
La compañía de reconocimiento facial obtuvo recientemente un contrato millonario con ICE
Esta violación se produce poco después de que Trust Stamp ganara un lucrativo contrato anual de 7.2 millones de dólares (mdd) con ICE para monitorear a los migrantes procesados en la frontera sur, utilizando reconocimiento facial y rastreo pasivo por GPS, como informó anteriormente Insider. La compañía también tiene asociaciones con MasterCard y un importante banco de Estados Unidos para procesar la verificación de identidad, según un archivo de la SEC de principios de año.
Genner dijo que hasta que Insider se puso en contacto con la empresa, «no había tenido conocimiento de ninguna sugerencia de acceso no autorizado a datos en ningún lugar de nuestros sistemas»; sin embargo, dice que «tomó todas las medidas disponibles para salvaguardar la base de datos a la que se hace referencia».
«Hemos notificado a la Fuerza de Tarea Conjunta de Investigación Cibernética Nacional sobre la información proporcionada y, por supuesto, cooperaremos con ellos y otras agencias en la investigación», dijo Genner. El directivo agregó: «Nos tomamos la seguridad de los datos muy en serio y siempre estamos buscando maneras para mejorar nuestras políticas y prácticas».
La brecha de información expone que la empresa ‘no toma en serio ninguna de sus responsabilidades de seguridad’
Cooper Quintin, investigador de seguridad y tecnólogo senior de Electronic Frontier Foundation, dijo a Insider que está «muy preocupado» por la brecha.
«Si eso fue posible en la aplicación de demostración, mi mayor preocupación aquí es que parecen tener datos sobre muchas personas y ni siquiera están tomando los pasos básicos para proteger esos datos», dijo Quintin. «Claramente no se están tomando en serio ninguna de sus responsabilidades de seguridad».
«No me parecen una empresa en la que se deba confiar con los datos [de inmigración]», dijo el investigador de seguridad anónimo a Insider.
Ninguna de las varias docenas de personas cuyos nombres se incluyeron en la filtración de datos eran de inmigrantes procesados en la frontera sur de Estados Unidos. De las personas a las que Insider pudo contactar por teléfono, ninguna estaba familiarizada con Trust Stamp o cualquiera de sus servicios.
Genner, el CEO de Trust Stamp, confirmó a Insider que algunas de las entradas de los usuarios expuestas en la violación «parecen representar a ‘personas reales'». Es probable que estas personas hayan usado un servicio de una empresa que está considerando trabajar con Trust Stamp. Esa empresa usó sus datos mientras probaba la aplicación de demostración de Trust Stamp, dijo Genner. Dijo que Trust Stamp otorga credenciales a posibles clientes, pero se negó a nombrarlos.
La brecha expuso información personal como nombres, direcciones, fechas de nacimiento y hasta licencias de conducir
El investigador de seguridad que descubrió la brecha dijo que Trust Stamp había publicado credenciales que podrían usarse para acceder a la interfaz de aplicación restringida o API de la aplicación de demostración. El acceso a esta API podría revelar la información personal, incluidos los nombres, las direcciones, las fechas de nacimiento y las fechas de emisión y vencimiento de las licencias de conducir, de las personas utilizadas en esta aplicación de demostración, dijeron.
Genner dijo que Trust Stamp retiró «todas las credenciales» de la API después de que Insider contactara a la compañía. El CEO agregó que la compañía las volverá a emitir con una nueva política que eliminará automáticamente los datos de prueba después de 90 días.
«Si se cargaron datos de prueba ‘reales’ y no se eliminaron, eso es contrario al uso previsto de la herramienta de prueba», dijo Genner.
En una presentación reciente ante la SEC, la empresa dijo que tenía «39 oportunidades comerciales» con clientes potenciales al 31 de marzo de 2022. Además de sus contratos con ICE y MasterCard, la empresa tiene varios contratos más pequeños con otras empresas. Trust Stamp también dijo que ha «abierto diálogos» con «varios organismos gubernamentales en el extranjero» sobre la venta de su tecnología biométrica y de reconocimiento facial.
Genner le dijo a Insider que cualquier violación de los datos de la demostración de inscripción «no tendría relevancia para nuestros productos de servicios gubernamentales». Esto porque la demostración de inscripción no es una prueba para clientes gubernamentales.
