Het gaat om gegevens van de Amerikaanse Customs and Border Protection, kortweg CBP, de autoriteit waar je als reiziger naar de Verenigde Staten (VS) ook je foto laat nemen en vingerafdrukken afstaat. Volgens CBP kopieerde een niet nader genoemde onderaannemer zonder toestemming foto's en nummerplaten naar haar eigen servers, waarna die onderaannemer werd gehackt.

Het gaat volgens CBP om de gegevens van minder dan honderdduizend mensen die over land op één specifieke plek de VS binnenkwamen. Ook gaat het enkel om foto's. De beelden zijn dus niet gekoppeld aan paspoortgegevens of andere persoonlijke details. Wie met het vliegtuig naar de VS gaat, valt dus niet onder de slachtoffers.

Het verhaal is ongemakkelijk voor de VS, dat van inkomende reizigers graag zo veel mogelijk informatie verzamelt. Zo wil het land op termijn volledig biometrische identiteitscontrole, waarbij op de drukste luchthavens met gezichtsherkenning wordt gewerkt. Dat CBP geen toestemming gaf aan de onderaannemer om de data te kopiëren, speelt in haar voordeel. Maar dat die onderaannemer dat toch ongemerkt kon, is zorgwekkend.

Al meer dan een week bekend

Tegelijk strookt de versie van CBP niet met gegevens die eerder zijn uitgekomen. Zo schreef The Register al op 23 mei over een hack bij Perceptics, een onderaannemer van CBP. De site kwam uit op een bestand met zo'n 65.000 gegevens, hoofdzakelijk foto's en nummerplaten. Perceptics bevestigde de hack zonder veel extra details.

Officieel bevestigt CBP niet dat het om Perceptics gaat. Wel merkte The Washington Post op dat het Worddocument waarin de verklaring van CBP stond, de bestandsnaam 'CBP Perceptics Public Statement' had. Dat het om dezelfde hack gaat is dus meer dan waarschijnlijk.

Maar in dat geval klopt ook de verklaring van CBP niet helemaal. De organisatie zegt dat het pas op 31 mei leerde over het incident. Dat is meer dan een week nadat Perceptics werd gecontacteerd door The Register over het incident. Tegelijk zegt CBP dat het geen weet heeft dat de gegevens zouden circuleren op het gewone internet of op het dark web. Ook dat klopt niet, want volgens The Register stonden ze daar al tenminste sinds 23 mei en zijn ze nog steeds beschikbaar.