แอพ CBP ONE พบว่ามีปัญหาในการตรวจสอบผู้ใช้ช่องโหว่ด้านความปลอดภัย

ศุลกากรและการป้องกันชายแดนของสหรัฐอเมริกา (CBP) ได้แย้งกับแอพมือถือ CBP ONE ที่อนุญาตให้ไม่มีการลงทะเบียนที่ไม่มีเอกสารเพื่อเข้ารับการรักษาในสหรัฐอเมริกาเพื่อส่งเป็นส่วนหนึ่งของการอนุมัติการเดินทางล่วงหน้าของพวกเขาขอข้อมูลชีวประวัติและไบโอเมตริกซ์ของพวกเขาเพื่อให้ CBP สามารถตรวจสอบว่าพวกเขามี

พลเรือนและสิทธิมนุษยชนกลุ่มได้ประณามแอป CBP ONE สำหรับมันคอลเลกชันของไบโอเมตริกซ์ของพลเมืองที่ไม่ใช่สหรัฐอเมริกา-

คุณลักษณะการนัดหมายของแอพ CBP One ช่วยให้ผู้ที่ไม่ใช่พลเมืองทั้งหมดมองหาการมาถึงที่ปลอดภัยและเป็นระเบียบไปยังสหรัฐอเมริกาผ่านหนึ่งในแปดพอร์ตชายแดนทางตะวันตกเฉียงใต้ของการเข้า (POEs) เพื่อส่งข้อมูลส่วนตัวที่สามารถระบุตัวตนได้ (PII) และกำหนดเวลาการนัดหมายล่วงหน้าเพื่อเร่งกระบวนการเข้า

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ (DHS) ผู้ตรวจการทั่วไป (IG) กล่าวในการตรวจสอบใหม่รายงานอย่างไรก็ตามพบว่า CBP“ ไม่ได้ประเมินอย่างเป็นทางการและลดความเสี่ยงทางเทคโนโลยีที่เกี่ยวข้องกับการขยายการใช้งานเพื่อให้ผู้ที่ไม่ได้ลงนามในการนัดหมายเพื่อกำหนดเวลาการนัดหมายเพื่อนำเสนอตัวเองสำหรับการประมวลผลที่การข้ามชายแดนตะวันตกเฉียงใต้

โดยทั่วไปแล้ว noncitizens ที่ไม่มีเอกสารเป็นบุคคลที่ไม่มีเอกสารการเดินทางที่ถูกต้องเช่นวีซ่าหรือหนังสือเดินทางที่อนุญาตให้พวกเขาเข้าสู่สหรัฐอเมริกาดังนั้นเจ้าหน้าที่ปฏิบัติการภาคสนาม CBP ใช้เวลาเป็นจำนวนมากการรวบรวมข้อมูลและการประมวลผล noncitizens ที่ POEs เพราะพวกเขาไม่มีเอกสารการเดินทางที่ถูกต้อง ในอดีต CBP ยังไม่ได้รับข้อมูลล่วงหน้าก่อนที่จะมีผู้ป่วยที่มาถึงที่ Noncitizen ที่ Poe ชายแดนที่ดินที่จะช่วยในกระบวนการนี้ คุณลักษณะการนัดหมายของแอพ CBP One เปิดตัวเมื่อวันที่ 12 มกราคม 2566 ทำให้กระบวนการนี้มีความคล่องตัวโดยการให้ข้อมูลเกี่ยวกับชีวประวัติและไบโอเมตริกซ์ขั้นสูงแก่เจ้าหน้าที่ CBP ซึ่งควรลดภาระการบริหารของการป้อนข้อมูลด้วยตนเองลงในระบบบันทึก

“ จากการตรวจสอบข้อมูล CBP ONE ของเราเราพบแนวโน้มที่น่าสงสัยในที่อยู่ที่อยู่อาศัยที่อยู่อาศัยของสหรัฐอเมริกาซึ่งรายงานไว้ล่วงหน้าซึ่งเป็นเขตข้อมูลที่จำเป็นในระหว่างกระบวนการลงทะเบียน CBP ONE” DHS IG Joseph V. Cuffari ระบุไว้ในรายงานการตรวจสอบ 19 สิงหาคม

IG รายงานว่าพบว่า 208,996 จาก 264,554 noncitizens (79 เปอร์เซ็นต์) ที่ลงทะเบียนใน CBP หนึ่งระหว่างวันที่ 12 มกราคม 2023 และ 18 สิงหาคม 2566 รายงานที่อยู่อาศัยที่ตั้งใจไว้เช่นเดียวกับที่ไม่ใช่พลเมือง เราระบุที่อยู่ของสหรัฐเจ็ดที่อยู่ที่ 1,696 คนที่ไม่ได้อ้างว่าเป็นที่อยู่อาศัยของพวกเขาซึ่งเราพิจารณาว่าน่าสงสัยและอาจเกี่ยวข้องกับการพิจารณาการยอมรับของพวกเขา นอกจากนี้ 1,696 noncitizens ไม่ได้เข้าสู่สหรัฐอเมริกาผ่าน poes เดียวกัน”

IG เน้นว่าในขณะที่“ CBP ใช้ข้อมูลชีวประวัติและไบโอเมตริกซ์ที่ส่งไปยัง CBP One เพื่อตรวจสอบว่าการมาถึง noncitizens นั้นมีบันทึกที่เสื่อมเสียหรือไม่มันไม่ได้ใช้ประโยชน์จากข้อมูลเพื่อระบุแนวโน้มที่น่าสงสัยซึ่งเป็นส่วนหนึ่งของขั้นตอนการตรวจหาล่วงหน้า

จากการวิเคราะห์ของ IG เกี่ยวกับข้อมูล CBP ONE มันระบุสิ่งที่กล่าวว่า“ อาจไม่เกี่ยวข้องกับผู้ที่ไม่เกี่ยวข้องกับผู้ที่อ้างว่าเป็นที่อยู่อาศัยของสหรัฐฯที่เหมือนกันซ้ำ ๆ ว่าเป็นที่อยู่ของพวกเขา” IG กล่าวว่า“ ในตัวอย่างที่โดดเด่นโดยเฉพาะอย่างยิ่งเราระบุ 358 noncitizens ที่รายงาน 4 ห้องนอนบ้านเดี่ยวบ้านเดียวเป็นที่อยู่อาศัยของเราที่อยู่อาศัยของพวกเขาภายในระยะเวลา 8 เดือน” แต่ยังไม่มี Poe เดี่ยวตระหนักถึงจำนวนผู้ที่ไม่ใช่พลเมืองที่รายงานที่อยู่ที่น่าสงสัยนี้”

DHS IG ยังพบว่า“ CBP ในปัจจุบันไม่มีกลไกในการวิเคราะห์ข้อมูล CBP One เป็นประจำ” จากแปด POES ชายแดนตะวันตกเฉียงใต้สำหรับ“ แนวโน้มที่อาจเป็นประโยชน์ที่เป็นประโยชน์

และเนื่องจากมันไม่ได้รายงานว่า CBP“ พลาดโอกาสในการประเมินข้อมูลล่วงหน้าสำหรับแนวโน้มของกิจกรรมที่น่าสงสัยทั่วชายแดนตะวันตกเฉียงใต้” และเพื่อสื่อสารผลลัพธ์ไปยัง POEs เพื่อพิจารณาในระหว่างการพิจารณาการยอมรับ

ผู้ตรวจการทั่วไปของ DHS ยัง“ ระบุช่องโหว่ด้านความปลอดภัยภายในแอปพลิเคชัน CBP ONE และระบบปฏิบัติการโครงสร้างพื้นฐานที่สนับสนุนและ“ หากไม่มีกระบวนการเพื่อให้แน่ใจว่าแพตช์ความปลอดภัยที่ถูกต้องทั้งหมดถูกนำไปใช้ในเวลาที่เหมาะสม

ผู้ตรวจสอบบัญชี DHS กล่าวว่า“ จากผลการประเมินของเราเราระบุช่องโหว่ภายในแอปพลิเคชันมือถือ CBP ONE เว็บแอปพลิเคชันและระบบปฏิบัติการโครงสร้างพื้นฐานที่อาจส่งผลต่อความสมบูรณ์ของระบบและข้อมูลที่ละเอียดอ่อน”

“ โดยเฉพาะ” IG กล่าวว่า“ นักแสดงที่ไม่ดีสามารถใช้ความอ่อนแอที่ระบุ [ในเว็บแอปพลิเคชันเว็บหนึ่ง CBP One] เพื่อข้ามกฎความปลอดภัยส่วนหน้าเข้าถึงระบบภายในและอาจเปิดตัวการโจมตีผู้ใช้ที่ท่องเว็บอย่างแข็งขัน”

CBP ได้พัฒนาระบบ CBP One Mobile และ Web Application ในเดือนตุลาคม 2563 เพื่อทำหน้าที่เป็นพอร์ทัลเดียวสำหรับบริการ CBP ที่หลากหลายเช่นการสมัครแบบฟอร์ม I-94,1 การตรวจสอบการเกษตรจัดตารางเวลาที่สนามบินและขออนุญาตการเดินทางล่วงหน้า กระบวนการนัดหมาย CBP ONE ประกอบด้วยสามขั้นตอน“ ที่แตกต่างกัน:” การกำหนดเวลาการนัดหมายการตรวจสอบก่อนการมาถึงและการประมวลผล POE

Noncitizens กำลังมองหารายการเข้าสู่สหรัฐอเมริกาป้อนข้อมูลชีวประวัติของพวกเขาและตั้งใจให้เราอยู่ในแอพ CBP ONE พวกเขายังต้องส่งรูปถ่ายที่อยู่ภายใต้เทคโนโลยีการแสดงตนที่แท้จริงของ CBP เพื่อตรวจสอบว่าผู้ใช้เป็นบุคคลที่“ มีชีวิต” แกลเลอรี่ภาพบริการตรวจสอบการเดินทางของ CBP มีภาพถ่ายทั้งหมดที่ส่งไปยัง CBP One เพื่อช่วยเจ้าหน้าที่ CBP POE ในการตรวจสอบ noncitizens ในระหว่างการประมวลผล POE CBP หนึ่งยังจับละติจูดและลองจิจูดของอุปกรณ์

หลังจากการนัดหมายที่ไม่ได้รับการแต่งตั้งข้อมูลของพวกเขาจะถูกเก็บไว้ในระบบการกำหนดเป้าหมายอัตโนมัติของ CBP (ATS) ซึ่งใช้คุณสมบัติในตัวที่เรียกว่า Unified Passenger (Upax) เพื่อทำการตรวจหาข้อมูลที่ไม่เกี่ยวข้องกับการมองหาข้อมูล ประกาศและประกาศสีแดงและสีน้ำเงินที่ออกโดยองค์การตำรวจสากล นอกจากนี้ยังใช้กฎพื้นฐานที่มีความเสี่ยงอยู่กึ่งกลางประสบการณ์ของเจ้าหน้าที่ CBP และการวิเคราะห์แนวโน้มของกิจกรรมที่น่าสงสัย ด้วยการใช้ข้อมูลนี้ Upax จะสร้างสิ่งที่เรียกว่า CBP One Hotlist สำหรับแต่ละ POE โดยอัตโนมัติซึ่งเอกสารการนัดหมายที่จะเกิดขึ้นทั้งหมดและผลการตรวจหามาก่อน

ตามเดือนมกราคม 2017การปรับปรุงการประเมินผลกระทบความเป็นส่วนตัวสำหรับ ATS“ งานนำเสนอขั้นสูงที่ให้ไว้ในฟังก์ชันการทำงานของ UPAX ให้การเข้าถึงไฟล์ที่อ้างอิงข้ามโดยตรงและข้อมูลจากฐานข้อมูลตัวแทนพันธมิตรผ่านการใช้ลิงก์ไฮเปอร์เท็กซ์และโปรโตคอลการลงชื่อเข้าใช้เดียว”

เมื่อผู้ที่ไม่ได้ลงทะเบียนไม่ได้รับการรับรองมาถึง POE ที่ผ่านกระบวนการอนุมัติการเดินทางล่วงหน้าผ่านแอพ CBP One เจ้าหน้าที่ CBP ใช้ CBP One Hotlist เพื่อตรวจสอบว่าบุคคลนั้นได้รับการยืนยันก่อนที่จะเข้า POE เมื่อตรวจสอบแล้วเจ้าหน้าที่ CBP จะส่งผู้ที่ไม่ได้เข้าสู่ POE เพื่อเริ่มการตรวจสอบขั้นต้น

ในการตรวจสอบขั้นต้นเจ้าหน้าที่ CBP รวบรวมข้อมูลไบโอเมตริกซ์รวมถึงภาพถ่ายสำหรับการเปรียบเทียบกับแกลเลอรี TVS เพื่อดึงข้อมูลล่วงหน้าของ Noncitizens ใน CBP ONE และระบบรองของ CBP Pre-Populate ของ CBP จากนั้น Noncitizens จะถูกส่งต่อไปยังการประมวลผลทุติยภูมิที่เจ้าหน้าที่ CBP ยืนยันข้อมูลล่วงหน้าที่ส่งไปยัง CBP One รวบรวมลายนิ้วมือของ noncitizen สำหรับการเปรียบเทียบกับระบบการระบุไบโอเมตริกซ์อัตโนมัติของ DHS สำหรับการตรวจสอบความคิดเห็นทางอาญา

ผู้ตรวจการทั่วไปของ DHS ได้ให้คำแนะนำสามข้อเพื่อแก้ไขปัญหาที่พบ CBP เห็นด้วยกับคำแนะนำทั้งสามและเริ่มดำเนินการเพื่อแก้ไข ในขณะที่ IG พิจารณาปัญหาทั้งสาม“ แก้ไข” พวกเขายังคง“ เปิด” จนกว่า CBP จะให้ IG มี“ เอกสารประกอบเพื่อยืนยันว่าได้ดำเนินการ” คำแนะนำทั้งสามของ IG