Planes tácticos detallados para redadas policiales inminentes, informes policiales confidenciales con descripciones de presuntos delitos y sospechosos, y un informe de extracción forense que detalla el contenido del teléfono de un sospechoso. Estos son algunos de los archivos en un enorme caché de datos tomados de los servidores internos de ODIN Intelligence, una empresa de tecnología que proporciona aplicaciones y servicios a los departamentos de policía, luego de un ataque y desfiguración de su sitio web durante el fin de semana.
El grupo detrás de la violación dijo en un mensaje dejado en el sitio web de ODIN que pirateó la empresa después de que su fundador y director ejecutivo, Erik McCauley, desmintió un informe de Wired, que descubrió la aplicación insignia de la empresa, SweepWizard, utilizada por la policía para coordinar y planificar redadas de varias agencias. , era inseguro y derramaba datos confidenciales sobre las próximas operaciones policiales en la web abierta.
Los piratas informáticos también publicaron las claves privadas de Amazon Web Services de la empresa para acceder a sus datos almacenados en la nube y afirmaron haber «triturado» los datos y las copias de seguridad de la empresa, pero no antes de extraer gigabytes de datos de los sistemas de ODIN.
ODIN desarrolla y proporciona aplicaciones, como SweepWizard, a los departamentos de policía de los Estados Unidos. La compañía también desarrolla tecnologías que permiten a las autoridades monitorear de forma remota a los delincuentes sexuales condenados. Pero ODIN también recibió críticas el año pasado por ofrecer a las autoridades un sistema de reconocimiento facial para identificar a las personas sin hogar y usar un lenguaje degradante en su mercadeo.
McCauley de ODIN no respondió a varios correos electrónicos solicitando comentarios antes de la publicación, pero confirmó el hackeo en una divulgación de violación de datos presentada ante la oficina del fiscal general de California.
La violación no solo expone grandes cantidades de datos internos propios de ODIN, sino también gigabytes de datos policiales confidenciales cargados por los clientes del departamento de policía de ODIN. La violación genera dudas sobre la seguridad cibernética de ODIN, pero también sobre la seguridad y la privacidad de las miles de personas, incluidas víctimas de delitos y sospechosos que no han sido acusados de ningún delito, cuya información personal quedó expuesta.
El caché de datos ODIN pirateados se proporcionó a DDoSecrets, un colectivo de transparencia sin fines de lucro que indexa conjuntos de datos filtrados en interés público, como cachés de departamentos de policía, agencias gubernamentales, bufetes de abogados y grupos de milicias. La cofundadora de DDoSecrets, Emma Best, le dijo a TechCrunch que el colectivo ha limitado la distribución del caché a periodistas e investigadores dada la gran cantidad de datos de identificación personal en el caché de ODIN.
Poco se sabe sobre el hack o los intrusos responsables de la violación. Best le dijo a TechCrunch que la fuente de la violación es un grupo llamado «Todos los policías cibernéticos son bastardos», una frase a la que se hace referencia en el mensaje de desfiguración.
TechCrunch revisó los datos, que no solo incluyen el código fuente y la base de datos interna de la empresa, sino también miles de archivos policiales. Ninguno de los datos aparece encriptado.
Un documento policial, redactado por TechCrunch, con detalles completos de una próxima redada expuesta por la infracción. Credito de imagen: TechCrunch (captura de pantalla)
Los datos incluían docenas de carpetas con planes tácticos completos de las próximas redadas, junto con fotografías de sospechosos, sus huellas dactilares y descripciones biométricas y otra información personal, incluida inteligencia sobre personas que podrían estar presentes en el momento de la redada, como niños, convivientes y compañeros de cuarto. algunos de los cuales describieron como «sin crim[inal] historia.» Muchos de los documentos fueron etiquetados como «solo para la aplicación de la ley confidencial» y «documento controlado» no para divulgación fuera del departamento de policía.
Algunos de los archivos estaban etiquetados como documentos de prueba y usaban nombres de oficiales falsos como «Superman» y «Capitán América». Pero ODIN también usó identidades del mundo real, como los actores de Hollywood, que es poco probable que hayan dado su consentimiento para que se usen sus nombres. Un documento titulado «Búsqueda de casas en Fresno» no tenía marcas que sugirieran que el documento era una prueba de los sistemas frontales de ODIN, pero decía que el objetivo de la redada era «encontrar una casa para vivir».
El caché filtrado de datos de ODIN también contenía su sistema para monitorear a los delincuentes sexuales, que permite a la policía y a los oficiales de libertad condicional registrar, supervisar y monitorear a los delincuentes condenados. El caché contenía más de mil documentos relacionados con delincuentes sexuales condenados que deben registrarse en el estado de California, incluidos sus nombres, domicilios (si no están encarcelados) y otra información personal.
Los datos también contienen una gran cantidad de información personal sobre las personas, incluidas las técnicas de vigilancia que utiliza la policía para identificarlas o rastrearlas. TechCrunch encontró varias capturas de pantalla que mostraban rostros de personas comparados con un motor de reconocimiento facial llamado AFR Engine, una empresa que proporciona tecnología de reconocimiento facial a los departamentos de policía. Una foto parece mostrar a un oficial sujetando a la fuerza la cabeza de una persona frente a la cámara del teléfono de otro oficial.
Otros archivos muestran a la policía usando lectores automáticos de matrículas, conocidos como ANPR, que pueden identificar dónde condujo un sospechoso en los últimos días. Otro documento contenía el contenido completo, incluidos mensajes de texto y fotos, del teléfono de un delincuente convicto, cuyo contenido fue extraído por una herramienta de extracción forense durante una verificación de cumplimiento mientras el delincuente estaba en libertad condicional. Una carpeta contenía grabaciones de audio de interacciones policiales, algunas donde se escucha a los agentes usando la fuerza.
TechCrunch se puso en contacto con varios departamentos de policía de EE. UU. cuyos archivos se encontraron en los datos robados. Ninguno respondió a nuestras solicitudes de comentarios.
El sitio web de ODIN, que se desconectó poco tiempo después de que fuera desfigurado, permanece inaccesible a partir del jueves.
Si sabe más sobre la brecha de ODIN Intelligence, comuníquese con el departamento de seguridad de Signal y WhatsApp al +1 646-755-8849 o [email protected] por correo electrónico.