5,6 miljoen vingerafdrukken bij Amerikaanse overheid gestolen
Bij de hack van de Amerikaanse overheidsinstantie OPM zijn de vingerafdrukken van 5,6 miljoen mensen gestolen en niet van 1,1 miljoen, zoals eerder werd aangegeven. Dat blijkt uit onderzoek van het Office of Personnel Management (OPM) en het Amerikaanse ministerie van Defensie.
De overheidsinstantie, die verantwoordelijk is voor het screenen van ambtenaren, werd twee keer gehackt. Bij de eerste inbraak bleken de gegevens van 4,2 miljoen ambtenaren te zijn buitgemaakt. Tijdens het onderzoek naar deze inbraak werd de tweede inbraak ontdekt, waarbij veel meer gegevens waren buitgemaakt. Daarnaast ging het ook om zeer gevoelige gegevens die ambtenaren op de screeningsformulieren moesten invullen, zoals psychische problemen, drugs- en alcoholgebruik, aanhoudingen door politie, faillissementen en gebruikersnamen, wachtwoorden en in bepaalde gevallen ook vingerafdrukken. In juli werd duidelijk dat bij deze tweede inbraak de gegevens van 21,5 miljoen Amerikanen zijn gestolen.
Misbruik gegevens
Volgens experts is de kans op misbruik van de gestolen vingerafdrukgegevens beperkt. Dit kan in de toekomst, als technologie zich verder ontwikkelt, veranderen. Daarom zullen de FBI, het ministerie van Binnenlandse Veiligheid, het ministerie van Justitie en leden van de inlichtingengemeenschap een onderzoek starten om te kijken hoe deze vingerafdrukgegevens nu en in de toekomst door vijanden kunnen worden misbruikt.
De partijen zullen ook aan manieren werken om dergelijk misbruik te voorkomen. Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen. Alle getroffen individuen zullen door het OPM over het incident worden gewaarschuwd. Daarnaast komen alle gedupeerden in aanmerking voor kredietmonitoring. Iets wat de Amerikaanse overheid 133 miljoen dollar zal kosten.
Dan wijzigen we die tegen die tijd toch?
Oh nee, dat kan niet.
Peter
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
NOG NIET nee.
De magneet strip werd in de 80er jaren beschouwd als niet te vervalsen.
Een cilinder slot was lang geleden een goed manier om dingen veilig af te sluiten.
Toen kwam de klopsleutel.
De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
De kans dat burgers opdraaien voor de schade nadert 100%.
Tevens onderstreept dit weer dat al dat datagraaien grenzeloos is. Niets is te dol om over een ander te weten.
En al die uiterst gevoelige informatie in handen van een groep personen waarvan het zeer de vraag is of die er zorgvuldig, verantwoord en terughoudend mee om gaan. Wat wil zeggen, in de praktijk, de echte wereld, en niet slechts "op papier".
Andere interessante vraag is hoeveel meer ambtenaren gechanteerd gaan worden hierdoor.
Er zullen vast allerlei (criminele) organisaties/personen zijn die maar wat graag dergelijk informatie zullen misbruiken voor eigen gewin.
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html
Immers de kleinste wijziging in de input van een hashfunctie levert een totaal andere hashwaarde op, en op biometrische gegevens zit altijd enige variatie.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
NOG NIET nee.
De magneet strip werd in de 80er jaren beschouwd als niet te vervalsen.
Een cilinder slot was lang geleden een goed manier om dingen veilig af te sluiten.
Toen kwam de klopsleutel.
Een complete vingerafdruk opslaan is puur verspilling van opslagruimte. Wat meestal wordt gedaan is features extraheren en slechts een feature vector opslaan. Doordat er minder informatie, 'slechts' een beknopte unieke beschrijving, is opgeslagen is het niet meer mogelijk de volledige vingerafdruk te reconstrueren. Omdat verschillende systemen verschillende feature extractie methoden kunnen gebruik hoeft het niet zo te zijn dat de gelekte feature vectoren direct in een ander systeem toepasbaar zijn.
Immers de kleinste wijziging in de input van een hashfunctie levert een totaal andere hashwaarde op, en op biometrische gegevens zit altijd enige variatie.
Volledig juist. Hierom worden geen cryptografische hashfuncties gebruik, maar andere functies (bijv. fuzzy extractors) of masking methoden.
Maximaal nog 5 tot 10 jaar. Daarna zijn de eerste quantumcomputers geavanceerd genoeg om de huidige cryptografie nutteloos te maken.
O gelukkig, dan kunnen voortaan alle "vingerafdrukken" gewoon gestolen worden...
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Nou dat hangt er maar vanaf. Lang niet alle systemen gebruiken z'n hash functie. Tenminste dat was een paar jaar geleden zo toen ik me er is in verdiept heb. Het probleem met de hash functies is ook valse positieve. Zo goed is/was die techniek niet.
Een complete vingerafdruk opslaan is puur verspilling van opslagruimte. Wat meestal wordt gedaan is features extraheren en slechts een feature vector opslaan. Doordat er minder informatie, 'slechts' een beknopte unieke beschrijving, is opgeslagen is het niet meer mogelijk de volledige vingerafdruk te reconstrueren. Omdat verschillende systemen verschillende feature extractie methoden kunnen gebruik hoeft het niet zo te zijn dat de gelekte feature vectoren direct in een ander systeem toepasbaar zijn.
Als een complete vinger afdruk 1 2 3 4 5 6 7 8 9 0 is en je slaat alleen maar - 2 - 4 - 5 - op tenslotte is dat uniek genoeg.
Dan hoeft de sleutel alleen maar aan de - 2 - 4 - 5 - te voldoen om binnen te komen.
Het probleem is >> NOG NIET <<
Maar een vinger afdruk slot kun je niet vervangen!!!
Hoe lang heeft het geduurd voor dat de magneetstrip door de banken vervangen werd?
Ja dat is echt zo, de magneetstrip is NU NOG STEEDS IN GEBRUIK!
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html
Helemaal mee eens. En de spijker op zijn kop.
De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
Mijn eigen reactie hierop is in de praktijk kennelijk ook niet erg realistisch, maar ik blijf het desondanks tenenkrommend vinden dat er zoiets als kredietmonitoring nodig is, wat impliceert dat identiteitsdiefstal mogelijk is. Het probleem daarbij is dat je iemands identiteit kan controleren door een moeilijk te vervalsen identiteitsbewijs te inspecteren, maar beslist niet door makkelijk kopieerbare data als onfeilbaar te beschouwen, en dat is kennelijk wat op grote schaal gedaan wordt. De schade van identiteitsdiefstal zou gedragen moeten worden door degene die die identiteit niet goed heeft gecontroleerd (als de dader niet bekend is, natuurlijk), niet door degene wiens identiteit misbruikt is. Is dat onredelijk voor organisaties die hun zaken via het web doen en die niet zo makkelijk een fysiek identiteitsbewijs kunnen controleren? Jammer dan, zij kiezen er zelf voor om zo hun zaken te doen, iemand wiens identiteit is misbruikt heeft geen inspraak in die keuze gehad.
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Op https://defensesystems.com/articles/2015/07/15/opm-hack-fingerprints-biometrics.aspx is valt te lezen:
"The fingerprints stolen were included on in-depth background checks, rather than specifically part of a biometrics ID database, but once taken they could conceivably be used for biometric spoofing."
Zie verder ook: http://arstechnica.com/security/2015/09/opm-breach-included-five-times-more-stolen-fingerprints/
Maar gelukkig doen ze in de VS niet zo heel veel met biometrie ;) https://www.eff.org/deeplinks/2015/09/little-fanfare-fbi-ramps-biometrics-programs-yet-again-part-1
Maximaal nog 5 tot 10 jaar. Daarna zijn de eerste quantumcomputers geavanceerd genoeg om de huidige cryptografie nutteloos te maken.
Onzin. De verwachting van quantumcomputers is uberhaupt koffiedik kijken, en lijkt parallel te gaan met de verwachting over kernfusie .
Verder zijn er prima cryptografische algorithmen waar een quantumcomputer niet snel/snel genoeg voor is.
Quantum computers zijn niet bijzonder nuttig voor AES bijvoorbeeld (AES-256). Het zijn alleen de 'makkelijke' public key algorithmen zoals RSA en Diffie-Helman waar quantum computers wel heel erg efficient voor zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Digital Forensic Researcher Mobile Device Hacking
Netherlands Forensic Institute (NFI)
As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.