更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全12月28日訊 法國身份與安全公司Morpho的兩名前職員爆料, 其公司的產品——美國聯邦調查局(FBI)與另外的1.8萬個美國執法機構使用的指紋分析軟體——中包含俄羅斯公司Papillon的代碼。 美國方面擔心俄羅斯駭客或在該軟體中植入後門, 訪問數百萬美國人的敏感生物識別資訊, 甚至危及更廣泛的美國國家安全和執法機構的電腦系統安全。
Papillon與克林姆宮合作密切
爆料者稱, 為法國公司Morpho提供代碼的俄羅斯公司Papillon與克林姆宮存在關聯, 美國方面應該會因此擔憂國家安全受到影響。 Papillon 公司的官網上明確顯示與俄羅斯政府部門(包括俄羅斯聯邦安全局FSB)存在密切的合作關係。
對於這款指紋分析軟體, 網路安全專家們表示不方便評論, 在沒有檢查代碼的情況下無法對俄羅斯代碼的危害進行評估。 美國NSA特定入侵行動辦公室(TAO)前運營策略主任蒂姆-埃文斯表示,
FBI 2011年宣佈改進指紋識別技術——被視為“下一代身份識別”計畫的一部分, 以此推動機構內部使用生物識別技術, 包括面部識別和虹膜識別技術。 美國運輸安全管理局(TSA)也依賴FBI的指紋資料庫。
爆料者透露, 為了贏得FBI這份合同, Morpho公司通過Papillon公司的技術來改進指紋識別軟體的性能。
Morpho與Papillon協議細節
這兩人向外媒提供了在Morpho與Papillon公司簽署的授權合約副本, 簽署時間為2008年7月2日, 此後在一年內Morpho公司就打敗了一家全球大型知名生物識別技術公司。 這份協議授權Sagem Sécurité(Morpho)將Papillon的代碼融入公司軟體, 此後可以自己的名義銷售產品。
另外, 該協議還要求Papillon提供為期五年的更新和改進服務, 協定截止時間為2013年12月31日, 為此Sagem Sécurité(Morpho)同意先向對方支付約380萬歐元(約合人民幣三千萬元), 之後每年還需另外支付費用。 該協定還規定, 雙方不得向協力廠商洩露這份協定的任何資訊。
Papillon與多國政府機構有合作
哈拉稱, Papillon並不是一家獨立的公司, 它受控於俄羅斯聯邦內務部。 Papillon與俄羅斯聯邦安全局FSB存在“深度合作”關係, 他曾參加過多次會議, 與會者包括俄羅斯政府官員和Papillon管理層, 俄羅斯聯邦安全局(FSB)官員曾在此類會議上表示強烈支持Papillon。
俄羅斯聯邦安全局(FSB)也在使用Papillon的指紋識別技術,
Papillon行銷副總監伊凡夏普肖表示, 公司的指紋識別技術每年協助俄羅斯警方解決約10萬起案件。 某貿易刊物曾介紹Papillon創始人帕維爾-紮伊采夫, 稱他於1985年至1991年期間曾在俄羅斯軍事軍地擔任工程師和程式師。
德布瓦向美國聯邦法院提起舉報人訴訟(Whistleblower Lawsuit), 指控法國賽峰從美國各級執法機構手中騙取約10億美元。 德布瓦表示, 該公司至少有三名高層在多個場合向他強調這份協定需要嚴格保密, 協定消息外泄可能會影響其美國市場的合同。 如果FBI知道演算法的來源, 公司就會攤上大麻煩。
雖然這兩名爆料者未參與將Papillon代碼整合至公司產品的工作, 也未參與將產品出售給FBI,但他們都跟代碼整合的工程師有過談話。多層高層曾告訴德布瓦,公司賣給FBI的技術產品含有Papillon演算法。
針對與Papillon合作的問題,俄羅斯聯邦內務部、俄羅斯聯邦安全局(FSB)和俄羅斯駐華盛頓大使館沒有回應外媒的評論請求。FBI以及上述公司均沒有直接否認這款指紋套裝軟體含俄羅斯公司開發的代碼。
本土身份識別企業產品或被採用
美國眾議院情報委員會議員約翰-克萊恩曾致信時任FBI局長羅伯特-米勒表示,允許外國政府向美國執法機構和情報界提供服務可能會對美國政府構成嚴重的反情報威脅。克萊恩敦促FBI評估美國國內企業是否有能力接下這項工作,並仔細權衡讓外國公司訪問這類敏感性資料的利與弊。
也未參與將產品出售給FBI,但他們都跟代碼整合的工程師有過談話。多層高層曾告訴德布瓦,公司賣給FBI的技術產品含有Papillon演算法。針對與Papillon合作的問題,俄羅斯聯邦內務部、俄羅斯聯邦安全局(FSB)和俄羅斯駐華盛頓大使館沒有回應外媒的評論請求。FBI以及上述公司均沒有直接否認這款指紋套裝軟體含俄羅斯公司開發的代碼。
本土身份識別企業產品或被採用
美國眾議院情報委員會議員約翰-克萊恩曾致信時任FBI局長羅伯特-米勒表示,允許外國政府向美國執法機構和情報界提供服務可能會對美國政府構成嚴重的反情報威脅。克萊恩敦促FBI評估美國國內企業是否有能力接下這項工作,並仔細權衡讓外國公司訪問這類敏感性資料的利與弊。