Plans tactiques détaillés pour les descentes de police imminentes, des rapports de police confidentiels avec des descriptions des crimes présumés et des suspects, et un rapport d’extraction médico-légale détaillant le contenu du téléphone d’un suspect. Ce sont quelques-uns des fichiers dans un énorme cache de données provenant des serveurs internes d’ODIN Intelligence, une société de technologie qui fournit des applications et des services aux services de police, à la suite d’un piratage et d’une dégradation de son site Web au cours du week-end.
Le groupe à l’origine de la violation a déclaré dans un message laissé sur le site Web d’ODIN qu’il avait piraté l’entreprise après que son fondateur et directeur général Erik McCauley ait rejeté un rapport de Wired, qui a découvert l’application phare de l’entreprise, SweepWizard, utilisée par la police pour coordonner et planifier des raids multi-agences. , n’était pas sécurisé et déversait des données sensibles sur les opérations de police à venir sur le Web ouvert.
Les pirates ont également publié les clés privées d’Amazon Web Services de l’entreprise pour accéder à ses données stockées dans le cloud et ont affirmé avoir « déchiqueté » les données et les sauvegardes de l’entreprise, mais pas avant d’avoir exfiltré des gigaoctets de données des systèmes d’ODIN.
ODIN développe et fournit des applications, comme SweepWizard, aux services de police à travers les États-Unis. La société développe également des technologies qui permettent aux autorités de surveiller à distance les délinquants sexuels condamnés. Mais ODIN a également été critiqué l’année dernière pour avoir proposé aux autorités un système de reconnaissance faciale pour identifier les sans-abri et avoir utilisé un langage dégradant dans son marketing.
McCauley d’ODIN n’a pas répondu à plusieurs e-mails demandant des commentaires avant la publication, mais a confirmé le piratage dans une divulgation de violation de données déposée auprès du bureau du procureur général de Californie.
La violation expose non seulement de grandes quantités de données internes d’ODIN, mais également des gigaoctets de données confidentielles d’application de la loi téléchargées par les clients du service de police d’ODIN. La violation soulève des questions sur la cybersécurité d’ODIN, mais aussi sur la sécurité et la vie privée des milliers de personnes – y compris les victimes d’actes criminels et les suspects non inculpés d’aucune infraction – dont les informations personnelles ont été exposées.
Le cache des données ODIN piratées a été fourni à DDoSecrets, un collectif de transparence à but non lucratif qui indexe les ensembles de données divulgués dans l’intérêt public, tels que les caches des services de police, des agences gouvernementales, des cabinets d’avocats et des milices. La co-fondatrice de DDoSecrets, Emma Best, a déclaré à TechCrunch que le collectif avait limité la distribution du cache aux journalistes et aux chercheurs étant donné la grande quantité de données personnellement identifiables dans le cache ODIN.
On sait peu de choses sur le piratage ou les intrus responsables de la violation. Best a déclaré à TechCrunch que la source de la violation est un groupe appelé « All Cyber-Cops Are Bastards », une phrase à laquelle il fait référence dans le message de défiguration.
TechCrunch a examiné les données, qui incluent non seulement le code source et la base de données interne de l’entreprise, mais également des milliers de fichiers de police. Aucune des données ne semble cryptée.
Un document de police, expurgé par TechCrunch, avec tous les détails d’un raid à venir révélé par la brèche. Crédit d’image : TechCrunch (capture d’écran)
Les données comprenaient des dizaines de dossiers contenant des plans tactiques complets des raids à venir, ainsi que des clichés suspects, leurs empreintes digitales et des descriptions biométriques et d’autres informations personnelles, y compris des renseignements sur les personnes qui pourraient être présentes au moment du raid, comme les enfants, les cohabitants et les colocataires, certains d’entre eux ont décrit comme n’ayant « aucun crime[inal] l’histoire. » De nombreux documents ont été étiquetés comme « application de la loi confidentielle uniquement » et « document contrôlé » ne devant pas être divulgués en dehors du service de police.
Certains des fichiers étaient étiquetés comme des documents de test et utilisaient de faux noms d’officiers comme « Superman » et « Captain America ». Mais ODIN a également utilisé des identités du monde réel, comme des acteurs hollywoodiens, qui n’ont probablement pas consenti à ce que leurs noms soient utilisés. Un document intitulé « Fresno House Search » ne portait aucune marque suggérant que le document était un test des systèmes frontaux d’ODIN, mais indiquait que l’objectif du raid était de « trouver une maison où vivre ».
Le cache divulgué des données ODIN contenait également son système de surveillance des délinquants sexuels, qui permet à la police et aux agents de libération conditionnelle d’enregistrer, de superviser et de surveiller les criminels condamnés. La cache contenait plus d’un millier de documents relatifs aux délinquants sexuels condamnés qui sont tenus de s’inscrire auprès de l’État de Californie, y compris leurs noms, adresses de domicile (s’ils ne sont pas incarcérés) et d’autres informations personnelles.
Les données contiennent également une grande quantité de renseignements personnels sur les individus, y compris les techniques de surveillance utilisées par la police pour les identifier ou les suivre. TechCrunch a trouvé plusieurs captures d’écran montrant les visages des personnes comparées à un moteur de reconnaissance faciale appelé AFR Engine, une société qui fournit une technologie de reconnaissance faciale aux services de police. Une photo semble montrer un officier tenant de force la tête d’une personne devant la caméra du téléphone d’un autre officier.
D’autres fichiers montrent que la police utilise des lecteurs automatiques de plaques d’immatriculation, connus sous le nom d’ANPR, qui peuvent identifier où un suspect a conduit ces derniers jours. Un autre document contenait le contenu complet – y compris des messages texte et des photos – du téléphone d’un délinquant condamné, dont le contenu a été extrait par un outil d’extraction médico-légal lors d’un contrôle de conformité alors que le délinquant était en probation. Un dossier contenait des enregistrements audio d’interactions policières, certains où des agents sont entendus en utilisant la force.
TechCrunch a contacté plusieurs services de police américains dont les fichiers ont été retrouvés dans les données volées. Aucun n’a répondu à nos demandes de commentaires.
Le site Web d’ODIN, qui s’est déconnecté peu de temps après avoir été dégradé, reste inaccessible à partir de jeudi.
Si vous en savez plus sur la violation d’ODIN Intelligence, contactez le bureau de sécurité sur Signal et WhatsApp au +1 646-755-8849 ou [email protected] par e-mail.