Piani tattici dettagliati per le imminenti incursioni della polizia, rapporti confidenziali della polizia con descrizioni di presunti crimini e sospetti, e un rapporto di estrazione forense con i dettagli del contenuto del telefono di un sospetto. Questi sono alcuni dei file contenuti in un’enorme cache di dati prelevati dai server interni di ODIN Intelligence, un’azienda tecnologica che fornisce applicazioni e servizi ai dipartimenti di polizia, a seguito di un hack e del defacement del suo sito web durante il fine settimana.

Il gruppo dietro la violazione ha dichiarato, in un messaggio lasciato sul sito web di ODIN, di aver violato l’azienda dopo che il suo fondatore e amministratore delegato Erik McCauley aveva licenziato un rapporto di Wired, che ha scoperto che l’applicazione di punta dell’azienda, SweepWizard, utilizzata dalla polizia per coordinare e pianificare le incursioni di più agenzie, non era sicura e diffondeva sul web dati sensibili sulle prossime operazioni di polizia.

Gli hacker hanno anche pubblicato le chiavi private di Amazon Web Services dell’azienda per accedere ai suoi dati archiviati nel cloud e hanno affermato di aver “distrutto” i dati e i backup dell’azienda, ma non prima di aver esfiltrare gigabyte di dati dai sistemi di ODIN.

ODIN sviluppa e fornisce applicazioni, come SweepWizard, ai dipartimenti di polizia di tutti gli Stati Uniti. L’azienda costruisce anche tecnologie che consentono alle autorità di monitorare a distanza i condannati per reati sessuali. L’anno scorso, però, ODIN si è anche attirata delle critiche per aver offerto alle autorità un sistema di riconoscimento facciale per identificare i senzatetto e l’uso di un linguaggio degradante nel suo marketing.

McCauley di ODIN non ha risposto a diverse e-mail di richiesta di commento prima della pubblicazione, ma ha confermato l’hack in una divulgazione della violazione dei dati depositata presso l’ufficio del procuratore generale della California.

La violazione non solo espone grandi quantità di dati interni di ODIN, ma anche gigabyte di dati riservati delle forze dell’ordine caricati dai clienti dei dipartimenti di polizia di ODIN. La violazione solleva interrogativi sulla sicurezza informatica di ODIN, ma anche sulla sicurezza e sulla privacy delle migliaia di persone – tra cui vittime di reati e sospetti non accusati di alcun reato – le cui informazioni personali sono state esposte.

La cache dei dati ODIN violati è stata fornita a DDoSecrets, un collettivo per la trasparenza senza scopo di lucro che indicizza le serie di dati trapelati nell’interesse pubblico, come le cache dei dipartimenti di polizia, delle agenzie governative, degli studi legali e dei gruppi di milizia. La cofondatrice di DDoSecrets, Emma Best, ha dichiarato a TechCrunch che il collettivo ha limitato la distribuzione dei dati di DDoSecrets. la cache a giornalisti e ricercatori, vista la grande quantità di dati di identificazione personale presenti nella cache ODIN.

Non si sa molto dell’hack e degli intrusi responsabili della violazione. Best ha dichiarato a TechCrunch che la fonte della violazione è un gruppo chiamato “All Cyber-Cops Are Bastards” (tutti i cyber-poliziotti sono bastardi), una frase a cui fa riferimento il messaggio di defacement.

TechCrunch ha esaminato i dati, che comprendono non solo il codice sorgente e il database interno dell’azienda, ma anche migliaia di file della polizia. Nessuno dei dati sembra essere criptato.

Un documento della polizia, redatto da TechCrunch, con tutti i dettagli di un’imminente incursione esposti dalla violazione. Credito d’immagine: TechCrunch (screenshot)

I dati includevano decine di cartelle con i piani tattici completi delle prossime incursioni, insieme alle foto segnaletiche dei sospetti, alle loro impronte digitali e descrizioni biometriche e ad altre informazioni personali, comprese le informazioni su individui che potrebbero essere presenti al momento dell’incursione, come figli, conviventi e coinquilini, alcuni dei quali descritti come “senza reati”.[inal] storia criminale”. Molti dei documenti erano etichettati come “riservati alle forze dell’ordine” e “documenti controllati” da non divulgare al di fuori del dipartimento di polizia.

Alcuni dei file erano etichettati come documenti di prova e utilizzavano nomi falsi di agenti come “Superman” e “Capitan America”. Ma l’ODIN ha utilizzato anche identità reali, come attori di Hollywood, che difficilmente hanno acconsentito all’utilizzo dei loro nomi. Un documento intitolato “Ricerca della casa di Fresno” non recava alcun segno che suggerisse che si trattava di un test dei sistemi frontali di ODIN, ma dichiarava che l’obiettivo dell’incursione era “trovare una casa in cui vivere”.

La cache di dati trapelata di ODIN conteneva anche il suo sistema di monitoraggio dei criminali sessuali, che consente alla polizia e agli ufficiali di sorveglianza di registrare, sorvegliare e monitorare i criminali condannati. La cache conteneva più di mille documenti relativi ai condannati per reati sessuali che devono registrarsi presso lo Stato della California, compresi i loro nomi, gli indirizzi di casa (se non sono in carcere) e altre informazioni personali.

I dati contengono anche una grande quantità di informazioni personali sugli individui, comprese le tecniche di sorveglianza utilizzate dalla polizia per identificarli o rintracciarli. TechCrunch ha trovato diverse schermate che mostrano i volti delle persone confrontati con un motore di riconoscimento facciale chiamato AFR Engine, un’azienda che fornisce tecnologia di riconoscimento facciale ai dipartimenti di polizia. Una foto sembra mostrare un agente che tiene con la forza la testa di una persona davanti alla fotocamera del telefono di un altro agente.

Altri file mostrano la polizia che utilizza lettori automatici di targhe, noti come ANPR, in grado di identificare dove un sospetto ha guidato negli ultimi giorni. Un altro documento conteneva il contenuto completo – compresi messaggi di testo e foto – del telefono di un condannato, il cui contenuto è stato estratto da uno strumento di estrazione forense durante un controllo di conformità mentre il condannato era in libertà vigilata. Una cartella conteneva registrazioni audio di interazioni con la polizia, alcune delle quali in cui si sente l’uso della forza da parte degli agenti.

TechCrunch ha contattato diversi dipartimenti di polizia statunitensi i cui file sono stati trovati nei dati rubati. Nessuno ha risposto alle nostre richieste di commento.

Il sito web di ODIN, che è andato offline poco tempo dopo essere stato defacciato, rimane inaccessibile da giovedì.


Se siete a conoscenza di ulteriori informazioni sulla violazione di ODIN Intelligence, contattate il security desk su Signal e WhatsApp al numero +1 646-755-8849 o zack.whittaker@techcrunch.com via e-mail.

Source link