5,6 miljoen vingerafdrukken bij Amerikaanse overheid gestolen
Bij de hack van de Amerikaanse overheidsinstantie OPM zijn de vingerafdrukken van 5,6 miljoen mensen gestolen en niet van 1,1 miljoen, zoals eerder werd aangegeven. Dat blijkt uit onderzoek van het Office of Personnel Management (OPM) en het Amerikaanse ministerie van Defensie.
De overheidsinstantie, die verantwoordelijk is voor het screenen van ambtenaren, werd twee keer gehackt. Bij de eerste inbraak bleken de gegevens van 4,2 miljoen ambtenaren te zijn buitgemaakt. Tijdens het onderzoek naar deze inbraak werd de tweede inbraak ontdekt, waarbij veel meer gegevens waren buitgemaakt. Daarnaast ging het ook om zeer gevoelige gegevens die ambtenaren op de screeningsformulieren moesten invullen, zoals psychische problemen, drugs- en alcoholgebruik, aanhoudingen door politie, faillissementen en gebruikersnamen, wachtwoorden en in bepaalde gevallen ook vingerafdrukken. In juli werd duidelijk dat bij deze tweede inbraak de gegevens van 21,5 miljoen Amerikanen zijn gestolen.
Misbruik gegevens
Volgens experts is de kans op misbruik van de gestolen vingerafdrukgegevens beperkt. Dit kan in de toekomst, als technologie zich verder ontwikkelt, veranderen. Daarom zullen de FBI, het ministerie van Binnenlandse Veiligheid, het ministerie van Justitie en leden van de inlichtingengemeenschap een onderzoek starten om te kijken hoe deze vingerafdrukgegevens nu en in de toekomst door vijanden kunnen worden misbruikt.
De partijen zullen ook aan manieren werken om dergelijk misbruik te voorkomen. Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen. Alle getroffen individuen zullen door het OPM over het incident worden gewaarschuwd. Daarnaast komen alle gedupeerden in aanmerking voor kredietmonitoring. Iets wat de Amerikaanse overheid 133 miljoen dollar zal kosten.
Reacties (24)
Volgens experts is de kans op misbruik van de gestolen vingerafdrukgegevens beperkt. Dit kan in de toekomst, als technologie zich verder ontwikkelt, veranderen.
Dan wijzigen we die tegen die tijd toch?
Oh nee, dat kan niet.
Peter
Nou goh dit had ik echt niet verwacht... Het is gewoon wachten totdat dit hier in NL ook gebeurt. Vervolgens hebben criminelen de rest van jou leven de beschikking over jou vingerafdrukken. Fijne gedachte he? Zullen we ook nog maar even een DNA database maken van iedereen op de wereld? Lijkt me een fantastisch idee!!!
23-09-2015, 17:06 door
Profeet
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
23-09-2015, 18:02 door
wizzkizz
Door Profeet:
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen. Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Door wizzkizz:
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Door Profeet:
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen. Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
NOG NIET nee.
De magneet strip werd in de 80er jaren beschouwd als niet te vervalsen.
Een cilinder slot was lang geleden een goed manier om dingen veilig af te sluiten.
Toen kwam de klopsleutel.
Typerend weer dat er staat dat het de overheid geld gaat kosten.
De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
De kans dat burgers opdraaien voor de schade nadert 100%.
Tevens onderstreept dit weer dat al dat datagraaien grenzeloos is. Niets is te dol om over een ander te weten.
En al die uiterst gevoelige informatie in handen van een groep personen waarvan het zeer de vraag is of die er zorgvuldig, verantwoord en terughoudend mee om gaan. Wat wil zeggen, in de praktijk, de echte wereld, en niet slechts "op papier".
Andere interessante vraag is hoeveel meer ambtenaren gechanteerd gaan worden hierdoor.
Er zullen vast allerlei (criminele) organisaties/personen zijn die maar wat graag dergelijk informatie zullen misbruiken voor eigen gewin.
De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
De kans dat burgers opdraaien voor de schade nadert 100%.
Tevens onderstreept dit weer dat al dat datagraaien grenzeloos is. Niets is te dol om over een ander te weten.
En al die uiterst gevoelige informatie in handen van een groep personen waarvan het zeer de vraag is of die er zorgvuldig, verantwoord en terughoudend mee om gaan. Wat wil zeggen, in de praktijk, de echte wereld, en niet slechts "op papier".
Andere interessante vraag is hoeveel meer ambtenaren gechanteerd gaan worden hierdoor.
Er zullen vast allerlei (criminele) organisaties/personen zijn die maar wat graag dergelijk informatie zullen misbruiken voor eigen gewin.
23-09-2015, 19:45 door
SPlid
Simpele oplossing, handen afhakken ;-)
Door SPlid: Simpele oplossing, handen afhakken ;-)
Nee, het kan simpeler met een vingertransplantatie.Sjah, "Fingerprints are Usernames, not Passwords":
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html
23-09-2015, 22:51 door
Erik van Straten
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
Welke kenmerken precies worden opgeslagen om een vingerafdruk op een digitale vingerafdrukscanner te herkennen weet ik niet, maar ik kan mij niet voorstellen dat hierbij cryptografische hashes worden gebruikt.Immers de kleinste wijziging in de input van een hashfunctie levert een totaal andere hashwaarde op, en op biometrische gegevens zit altijd enige variatie.
Door amphihans:
NOG NIET nee.
De magneet strip werd in de 80er jaren beschouwd als niet te vervalsen.
Een cilinder slot was lang geleden een goed manier om dingen veilig af te sluiten.
Toen kwam de klopsleutel.
Door wizzkizz: [...]
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
NOG NIET nee.
De magneet strip werd in de 80er jaren beschouwd als niet te vervalsen.
Een cilinder slot was lang geleden een goed manier om dingen veilig af te sluiten.
Toen kwam de klopsleutel.
Een complete vingerafdruk opslaan is puur verspilling van opslagruimte. Wat meestal wordt gedaan is features extraheren en slechts een feature vector opslaan. Doordat er minder informatie, 'slechts' een beknopte unieke beschrijving, is opgeslagen is het niet meer mogelijk de volledige vingerafdruk te reconstrueren. Omdat verschillende systemen verschillende feature extractie methoden kunnen gebruik hoeft het niet zo te zijn dat de gelekte feature vectoren direct in een ander systeem toepasbaar zijn.
Door Erik van Straten:
Immers de kleinste wijziging in de input van een hashfunctie levert een totaal andere hashwaarde op, en op biometrische gegevens zit altijd enige variatie.
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
Welke kenmerken precies worden opgeslagen om een vingerafdruk op een digitale vingerafdrukscanner te herkennen weet ik niet, maar ik kan mij niet voorstellen dat hierbij cryptografische hashes worden gebruikt.Immers de kleinste wijziging in de input van een hashfunctie levert een totaal andere hashwaarde op, en op biometrische gegevens zit altijd enige variatie.
Volledig juist. Hierom worden geen cryptografische hashfuncties gebruik, maar andere functies (bijv. fuzzy extractors) of masking methoden.
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
Maximaal nog 5 tot 10 jaar. Daarna zijn de eerste quantumcomputers geavanceerd genoeg om de huidige cryptografie nutteloos te maken.
Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk..
O gelukkig, dan kunnen voortaan alle "vingerafdrukken" gewoon gestolen worden...
Door wizzkizz:
Door Profeet:
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Nou dat hangt er maar vanaf. Lang niet alle systemen gebruiken z'n hash functie. Tenminste dat was een paar jaar geleden zo toen ik me er is in verdiept heb. Het probleem met de hash functies is ook valse positieve. Zo goed is/was die techniek niet.
Door Anoniem:
Een complete vingerafdruk opslaan is puur verspilling van opslagruimte. Wat meestal wordt gedaan is features extraheren en slechts een feature vector opslaan. Doordat er minder informatie, 'slechts' een beknopte unieke beschrijving, is opgeslagen is het niet meer mogelijk de volledige vingerafdruk te reconstrueren. Omdat verschillende systemen verschillende feature extractie methoden kunnen gebruik hoeft het niet zo te zijn dat de gelekte feature vectoren direct in een ander systeem toepasbaar zijn.
Een complete vingerafdruk opslaan is puur verspilling van opslagruimte. Wat meestal wordt gedaan is features extraheren en slechts een feature vector opslaan. Doordat er minder informatie, 'slechts' een beknopte unieke beschrijving, is opgeslagen is het niet meer mogelijk de volledige vingerafdruk te reconstrueren. Omdat verschillende systemen verschillende feature extractie methoden kunnen gebruik hoeft het niet zo te zijn dat de gelekte feature vectoren direct in een ander systeem toepasbaar zijn.
Als een complete vinger afdruk 1 2 3 4 5 6 7 8 9 0 is en je slaat alleen maar - 2 - 4 - 5 - op tenslotte is dat uniek genoeg.
Dan hoeft de sleutel alleen maar aan de - 2 - 4 - 5 - te voldoen om binnen te komen.
Het probleem is >> NOG NIET <<
Maar een vinger afdruk slot kun je niet vervangen!!!
Hoe lang heeft het geduurd voor dat de magneetstrip door de banken vervangen werd?
Ja dat is echt zo, de magneetstrip is NU NOG STEEDS IN GEBRUIK!
Door Anoniem: Sjah, "Fingerprints are Usernames, not Passwords":
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html
Helemaal mee eens. En de spijker op zijn kop.
Door Anoniem: Typerend weer dat er staat dat het de overheid geld gaat kosten.
De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
Het was een overheidsinstantie die zijn beveiliging niet goed genoeg op orde had, de overheid is wel degelijk een van de verantwoordelijken, natuurlijk kost het ze geld. Als het Amazon was geweest had het Amazon geld gekost. Van de hoofdverantwoordelijken, degenen die de gegevens hebben gestolen, hoef je natuurlijk niet veel goeds te verwachten.De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
Mijn eigen reactie hierop is in de praktijk kennelijk ook niet erg realistisch, maar ik blijf het desondanks tenenkrommend vinden dat er zoiets als kredietmonitoring nodig is, wat impliceert dat identiteitsdiefstal mogelijk is. Het probleem daarbij is dat je iemands identiteit kan controleren door een moeilijk te vervalsen identiteitsbewijs te inspecteren, maar beslist niet door makkelijk kopieerbare data als onfeilbaar te beschouwen, en dat is kennelijk wat op grote schaal gedaan wordt. De schade van identiteitsdiefstal zou gedragen moeten worden door degene die die identiteit niet goed heeft gecontroleerd (als de dader niet bekend is, natuurlijk), niet door degene wiens identiteit misbruikt is. Is dat onredelijk voor organisaties die hun zaken via het web doen en die niet zo makkelijk een fysiek identiteitsbewijs kunnen controleren? Jammer dan, zij kiezen er zelf voor om zo hun zaken te doen, iemand wiens identiteit is misbruikt heeft geen inspraak in die keuze gehad.
Door wizzkizz:
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Door Profeet:
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen. Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.
Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
Op https://defensesystems.com/articles/2015/07/15/opm-hack-fingerprints-biometrics.aspx is valt te lezen:
"The fingerprints stolen were included on in-depth background checks, rather than specifically part of a biometrics ID database, but once taken they could conceivably be used for biometric spoofing."
Zie verder ook: http://arstechnica.com/security/2015/09/opm-breach-included-five-times-more-stolen-fingerprints/
Maar gelukkig doen ze in de VS niet zo heel veel met biometrie ;) https://www.eff.org/deeplinks/2015/09/little-fanfare-fbi-ramps-biometrics-programs-yet-again-part-1
Door Anoniem:
Maximaal nog 5 tot 10 jaar. Daarna zijn de eerste quantumcomputers geavanceerd genoeg om de huidige cryptografie nutteloos te maken.
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
Maximaal nog 5 tot 10 jaar. Daarna zijn de eerste quantumcomputers geavanceerd genoeg om de huidige cryptografie nutteloos te maken.
Onzin. De verwachting van quantumcomputers is uberhaupt koffiedik kijken, en lijkt parallel te gaan met de verwachting over kernfusie .
Verder zijn er prima cryptografische algorithmen waar een quantumcomputer niet snel/snel genoeg voor is.
Quantum computers zijn niet bijzonder nuttig voor AES bijvoorbeeld (AES-256). Het zijn alleen de 'makkelijke' public key algorithmen zoals RSA en Diffie-Helman waar quantum computers wel heel erg efficient voor zijn.
Volgens mij heeft iemand anders niet zo gek veel aan mijn vingerafdruk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Forensisch software-engineer
Nederlands Forensisch Instituut
Bij het team Forensische Software-engineering ontwikkel jij diverse complexe applicaties, die binnen en buiten het NFI gebruikt worden voor opsporing en bewijsvoering. Jij werkt mee aan het uitwerken en beschikbaar maken van nieuwe forensische analysetechnieken op het gebied van datarecovery, data-analyse, DNA, chemische analyses, (kogel)krassporen, verkeersongevallen, cryptografie, exploits en statistiek.
Netwerkengineer
Nederlands Forensisch Instituut
Van het kraken van versleuteld telefoonverkeer van criminelen en DNA-onderzoek in een geruchtmakende moordzaak, tot het onderzoeken van wapens en munitie die gevonden zijn op een plaats delict: het werk van het NFI doet ertoe. Als netwerkengineer heb jij hierin een belangrijk aandeel. Met jouw passie voor ICT en een bovengemiddeld bewustzijn van het begrip security, zorg jij voor een optimaal functionerend en veilig netwerk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?