Lebih dari satu dekade yang lalu, di dekat Kandahar, Afghanistan, militer AS menggunakan salah satu perangkat Secure Electronic Enrollment Kit (SEEK II) untuk terakhir kalinya. Sepotong teknologi, persegi panjang hitam tebal yang digunakan untuk memindai sidik jari dan iris mata, dimatikan dan disimpan.
Yaitu, hingga Agustus 2022 ketika Matthias Marx, seorang peneliti keamanan Jerman, membeli perangkat tersebut seharga $68 dari eBay (pencurian, sekitar setengah dari harga yang tercantum). Tapi itu belum semuanya. Untuk harga rendah, rendah kurang dari $70, Marx secara tidak sengaja juga membeli sensitif, mengidentifikasi data ribuan orang. Nama, kebangsaan, foto, dan deskripsi terperinci menyertai pemindaian sidik jari biometrik dan iris dari 2.632 orang, menurut laporan dari The New York Times.
Dari zona perang, hingga lelang peralatan pemerintah, hingga pengiriman eBay — tampaknya tidak ada satu pun pejabat Pentagon yang berpikir untuk mengeluarkan kartu memori yang terdapat dalam SEEK II khusus yang dimiliki Marx. “Penanganan yang tidak bertanggung jawab atas teknologi berisiko tinggi ini tidak dapat dipercaya,” kata peneliti tersebut kepada Times. “Tidak dapat dipahami oleh kami bahwa pabrikan dan mantan pengguna militer tidak peduli bahwa perangkat bekas dengan data sensitif sedang dijajakan secara online,” tambahnya.
Sebagian besar informasi yang terkandung dalam SEEK II adalah data yang dikumpulkan tentang orang-orang yang diidentifikasi oleh militer AS sebagai teroris atau buronan, menurut Times. Namun, yang lain hanyalah warga sipil yang dihentikan di pos pemeriksaan di Timur Tengah atau bahkan mereka yang membantu pemerintah AS. Dan semua info itu dapat dengan mudah digunakan untuk melacak seseorang—membuat perangkat dan data yang menyertainya sangat berbahaya jika jatuh ke tangan yang salah. Misalnya, dengan Taliban yang mungkin memiliki kepentingan untuk menemukan dan menghukum orang-orang yang bekerja dengan pasukan AS di wilayah tersebut.
Sekretaris Pers Departemen Pertahanan, Brigjen. Jenderal Patrick S. Ryder mengatakan kepada NYT bahwa departemen tidak dapat mengonfirmasi keaslian data atau mengomentarinya. Perangkat itu harus dikembalikan ke militer, kata Ryder lebih lanjut, dan memberikan Times alamat di Fort Belvoir di Virginia.
Marx dan rekan penelitinya di Chaos Computer Club, yang menyebut dirinya sebagai asosiasi peretas terbesar di Eropa, membeli SEEK II bersama dengan lima perangkat perekam biometrik lainnya—semuanya dibeli dari eBay. Kelompok itu berencana untuk menganalisis mesin untuk potensi kerentanan menyusul laporan tahun 2021 dari The Intercept tentang Taliban yang menyita teknologi militer semacam itu.
Tetapi meskipun Marx telah menetapkan dari awal untuk menilai risiko yang terkait dengan perangkat biometrik, dia masih khawatir dengan cakupan dari apa yang dia temukan. Selain ribuan yang teridentifikasi pada satu perangkat SEEK II yang terakhir digunakan di Afghanistan, SEEK II kedua yang dibeli oleh CCC dan terakhir digunakan di Yordania pada 2013 menyimpan data tentang pasukan AS—kemungkinan dikumpulkan selama pelatihan, menurut Times.
Perangkat keras militer tidak pernah dimaksudkan untuk dijual di “pasar online dunia”. Sebaliknya, Badan Logistik Pertahanan memberi tahu NYT bahwa perangkat SEEK II ini seharusnya dihancurkan di lokasi segera setelah tidak digunakan lagi. DOD menggemakan penjelasan ini dalam email ke Gizmodo. “Barang-barang militer seperti [biometric devices] umumnya ditandai untuk demiliterisasi oleh Layanan sebelum penempatan, dan mereka harus dihancurkan oleh [DLA] setelah kembali, ”tulis juru bicara DOD, Komandan Nicole Schwegman. “Tidak satu pun dari barang-barang ini tersedia untuk ritel,” tambahnya. Gizmodo menjangkau DLA dengan pertanyaan tentang bagaimana mesin Marx bisa jatuh melalui celah, tetapi tidak segera menerima tanggapan.
Meskipun jalur pasti perangkat yang diperoleh CCC tidak jelas, salah satu penjual mengatakan kepada Times bahwa perusahaan mengakuisisi SEEK II di lelang peralatan pemerintah.
Daftar barang elektronik yang berisi informasi pribadi atau informasi yang dapat diidentifikasi melanggar kebijakan perusahaan eBay, kata seorang juru bicara kepada NYT. Pengguna yang mencantumkan barang-barang tersebut bertanggung jawab untuk menghadapi tindakan termasuk penangguhan permanen, kata perusahaan itu.
Namun saat ini, beberapa perangkat bioteknologi militer yang identik atau serupa masih dijual di eBay. Anda dapat membeli SEEK II sendiri (tampaknya surplus Patroli Perbatasan) hanya dengan beberapa ratus dolar. Tetapi bertindaklah cepat karena minat tampaknya memanas. eBay tidak segera menanggapi pertanyaan atau permintaan komentar Gizmodo.
Pembaruan 27/12/2022, 13:35 ET: Posting ini telah diperbarui dengan komentar dari juru bicara Departemen Pertahanan.