Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

5,6 miljoen vingerafdrukken bij Amerikaanse overheid gestolen

woensdag 23 september 2015, 16:52 door Redactie, 24 reacties

Bij de hack van de Amerikaanse overheidsinstantie OPM zijn de vingerafdrukken van 5,6 miljoen mensen gestolen en niet van 1,1 miljoen, zoals eerder werd aangegeven. Dat blijkt uit onderzoek van het Office of Personnel Management (OPM) en het Amerikaanse ministerie van Defensie.

De overheidsinstantie, die verantwoordelijk is voor het screenen van ambtenaren, werd twee keer gehackt. Bij de eerste inbraak bleken de gegevens van 4,2 miljoen ambtenaren te zijn buitgemaakt. Tijdens het onderzoek naar deze inbraak werd de tweede inbraak ontdekt, waarbij veel meer gegevens waren buitgemaakt. Daarnaast ging het ook om zeer gevoelige gegevens die ambtenaren op de screeningsformulieren moesten invullen, zoals psychische problemen, drugs- en alcoholgebruik, aanhoudingen door politie, faillissementen en gebruikersnamen, wachtwoorden en in bepaalde gevallen ook vingerafdrukken. In juli werd duidelijk dat bij deze tweede inbraak de gegevens van 21,5 miljoen Amerikanen zijn gestolen.

Misbruik gegevens

Volgens experts is de kans op misbruik van de gestolen vingerafdrukgegevens beperkt. Dit kan in de toekomst, als technologie zich verder ontwikkelt, veranderen. Daarom zullen de FBI, het ministerie van Binnenlandse Veiligheid, het ministerie van Justitie en leden van de inlichtingengemeenschap een onderzoek starten om te kijken hoe deze vingerafdrukgegevens nu en in de toekomst door vijanden kunnen worden misbruikt.

De partijen zullen ook aan manieren werken om dergelijk misbruik te voorkomen. Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen. Alle getroffen individuen zullen door het OPM over het incident worden gewaarschuwd. Daarnaast komen alle gedupeerden in aanmerking voor kredietmonitoring. Iets wat de Amerikaanse overheid 133 miljoen dollar zal kosten.

Microsoft en Baidu gaan Windows 10 in China uitrollen
Google: anti-virussoftware Kaspersky nog steeds lek
Reacties (24)
23-09-2015, 16:56 door Anoniem
Volgens experts is de kans op misbruik van de gestolen vingerafdrukgegevens beperkt. Dit kan in de toekomst, als technologie zich verder ontwikkelt, veranderen.

Dan wijzigen we die tegen die tijd toch?
Oh nee, dat kan niet.

Peter
23-09-2015, 17:01 door Anoniem
Nou goh dit had ik echt niet verwacht... Het is gewoon wachten totdat dit hier in NL ook gebeurt. Vervolgens hebben criminelen de rest van jou leven de beschikking over jou vingerafdrukken. Fijne gedachte he? Zullen we ook nog maar even een DNA database maken van iedereen op de wereld? Lijkt me een fantastisch idee!!!
23-09-2015, 17:06 door Profeet
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
23-09-2015, 17:25 door Anoniem
De boef heeft zeker geen vingerafdruk achtergelaten ;-)
23-09-2015, 17:35 door Anoniem
Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
23-09-2015, 18:02 door wizzkizz
Door Profeet:
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
23-09-2015, 19:10 door [Account Verwijderd]
Door wizzkizz:
Door Profeet:
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.

NOG NIET nee.

De magneet strip werd in de 80er jaren beschouwd als niet te vervalsen.

Een cilinder slot was lang geleden een goed manier om dingen veilig af te sluiten.
Toen kwam de klopsleutel.
23-09-2015, 19:43 door Anoniem
Typerend weer dat er staat dat het de overheid geld gaat kosten.
De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
De kans dat burgers opdraaien voor de schade nadert 100%.

Tevens onderstreept dit weer dat al dat datagraaien grenzeloos is. Niets is te dol om over een ander te weten.
En al die uiterst gevoelige informatie in handen van een groep personen waarvan het zeer de vraag is of die er zorgvuldig, verantwoord en terughoudend mee om gaan. Wat wil zeggen, in de praktijk, de echte wereld, en niet slechts "op papier".

Andere interessante vraag is hoeveel meer ambtenaren gechanteerd gaan worden hierdoor.
Er zullen vast allerlei (criminele) organisaties/personen zijn die maar wat graag dergelijk informatie zullen misbruiken voor eigen gewin.
23-09-2015, 19:45 door SPlid
Simpele oplossing, handen afhakken ;-)
23-09-2015, 20:06 door Anoniem
Door SPlid: Simpele oplossing, handen afhakken ;-)
Nee, het kan simpeler met een vingertransplantatie.
23-09-2015, 20:31 door Anoniem
Sjah, "Fingerprints are Usernames, not Passwords":
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html
23-09-2015, 20:42 door Anoniem
Met wiens vingerafdruk was die database beveiligd?
23-09-2015, 22:51 door Erik van Straten
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
Welke kenmerken precies worden opgeslagen om een vingerafdruk op een digitale vingerafdrukscanner te herkennen weet ik niet, maar ik kan mij niet voorstellen dat hierbij cryptografische hashes worden gebruikt.

Immers de kleinste wijziging in de input van een hashfunctie levert een totaal andere hashwaarde op, en op biometrische gegevens zit altijd enige variatie.
23-09-2015, 23:38 door Anoniem
Door amphihans:
Door wizzkizz: [...]
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.

NOG NIET nee.

De magneet strip werd in de 80er jaren beschouwd als niet te vervalsen.

Een cilinder slot was lang geleden een goed manier om dingen veilig af te sluiten.
Toen kwam de klopsleutel.

Een complete vingerafdruk opslaan is puur verspilling van opslagruimte. Wat meestal wordt gedaan is features extraheren en slechts een feature vector opslaan. Doordat er minder informatie, 'slechts' een beknopte unieke beschrijving, is opgeslagen is het niet meer mogelijk de volledige vingerafdruk te reconstrueren. Omdat verschillende systemen verschillende feature extractie methoden kunnen gebruik hoeft het niet zo te zijn dat de gelekte feature vectoren direct in een ander systeem toepasbaar zijn.

Door Erik van Straten:
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
Welke kenmerken precies worden opgeslagen om een vingerafdruk op een digitale vingerafdrukscanner te herkennen weet ik niet, maar ik kan mij niet voorstellen dat hierbij cryptografische hashes worden gebruikt.

Immers de kleinste wijziging in de input van een hashfunctie levert een totaal andere hashwaarde op, en op biometrische gegevens zit altijd enige variatie.

Volledig juist. Hierom worden geen cryptografische hashfuncties gebruik, maar andere functies (bijv. fuzzy extractors) of masking methoden.
24-09-2015, 00:03 door Anoniem
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...

Maximaal nog 5 tot 10 jaar. Daarna zijn de eerste quantumcomputers geavanceerd genoeg om de huidige cryptografie nutteloos te maken.
24-09-2015, 07:42 door Anoniem
Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk..

O gelukkig, dan kunnen voortaan alle "vingerafdrukken" gewoon gestolen worden...
24-09-2015, 09:30 door Profeet - Bijgewerkt: 24-09-2015, 09:30
Door wizzkizz:
Door Profeet:
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.

Nou dat hangt er maar vanaf. Lang niet alle systemen gebruiken z'n hash functie. Tenminste dat was een paar jaar geleden zo toen ik me er is in verdiept heb. Het probleem met de hash functies is ook valse positieve. Zo goed is/was die techniek niet.
24-09-2015, 09:48 door [Account Verwijderd]
Door Anoniem:

Een complete vingerafdruk opslaan is puur verspilling van opslagruimte. Wat meestal wordt gedaan is features extraheren en slechts een feature vector opslaan. Doordat er minder informatie, 'slechts' een beknopte unieke beschrijving, is opgeslagen is het niet meer mogelijk de volledige vingerafdruk te reconstrueren. Omdat verschillende systemen verschillende feature extractie methoden kunnen gebruik hoeft het niet zo te zijn dat de gelekte feature vectoren direct in een ander systeem toepasbaar zijn.

Als een complete vinger afdruk 1 2 3 4 5 6 7 8 9 0 is en je slaat alleen maar - 2 - 4 - 5 - op tenslotte is dat uniek genoeg.
Dan hoeft de sleutel alleen maar aan de - 2 - 4 - 5 - te voldoen om binnen te komen.

Het probleem is >> NOG NIET <<

Maar een vinger afdruk slot kun je niet vervangen!!!

Hoe lang heeft het geduurd voor dat de magneetstrip door de banken vervangen werd?
Ja dat is echt zo, de magneetstrip is NU NOG STEEDS IN GEBRUIK!
24-09-2015, 10:14 door Anoniem
Door Anoniem: Sjah, "Fingerprints are Usernames, not Passwords":
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html

Helemaal mee eens. En de spijker op zijn kop.
24-09-2015, 10:38 door Anoniem
Door Anoniem: Typerend weer dat er staat dat het de overheid geld gaat kosten.
De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
Het was een overheidsinstantie die zijn beveiliging niet goed genoeg op orde had, de overheid is wel degelijk een van de verantwoordelijken, natuurlijk kost het ze geld. Als het Amazon was geweest had het Amazon geld gekost. Van de hoofdverantwoordelijken, degenen die de gegevens hebben gestolen, hoef je natuurlijk niet veel goeds te verwachten.

Mijn eigen reactie hierop is in de praktijk kennelijk ook niet erg realistisch, maar ik blijf het desondanks tenenkrommend vinden dat er zoiets als kredietmonitoring nodig is, wat impliceert dat identiteitsdiefstal mogelijk is. Het probleem daarbij is dat je iemands identiteit kan controleren door een moeilijk te vervalsen identiteitsbewijs te inspecteren, maar beslist niet door makkelijk kopieerbare data als onfeilbaar te beschouwen, en dat is kennelijk wat op grote schaal gedaan wordt. De schade van identiteitsdiefstal zou gedragen moeten worden door degene die die identiteit niet goed heeft gecontroleerd (als de dader niet bekend is, natuurlijk), niet door degene wiens identiteit misbruikt is. Is dat onredelijk voor organisaties die hun zaken via het web doen en die niet zo makkelijk een fysiek identiteitsbewijs kunnen controleren? Jammer dan, zij kiezen er zelf voor om zo hun zaken te doen, iemand wiens identiteit is misbruikt heeft geen inspraak in die keuze gehad.
24-09-2015, 17:08 door Anoniem
Door wizzkizz:
Door Profeet:
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.

Op https://defensesystems.com/articles/2015/07/15/opm-hack-fingerprints-biometrics.aspx is valt te lezen:
"The fingerprints stolen were included on in-depth background checks, rather than specifically part of a biometrics ID database, but once taken they could conceivably be used for biometric spoofing."
Zie verder ook: http://arstechnica.com/security/2015/09/opm-breach-included-five-times-more-stolen-fingerprints/

Maar gelukkig doen ze in de VS niet zo heel veel met biometrie ;) https://www.eff.org/deeplinks/2015/09/little-fanfare-fbi-ramps-biometrics-programs-yet-again-part-1
26-09-2015, 23:46 door Anoniem
Door Anoniem:
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...

Maximaal nog 5 tot 10 jaar. Daarna zijn de eerste quantumcomputers geavanceerd genoeg om de huidige cryptografie nutteloos te maken.

Onzin. De verwachting van quantumcomputers is uberhaupt koffiedik kijken, en lijkt parallel te gaan met de verwachting over kernfusie .
Verder zijn er prima cryptografische algorithmen waar een quantumcomputer niet snel/snel genoeg voor is.
Quantum computers zijn niet bijzonder nuttig voor AES bijvoorbeeld (AES-256). Het zijn alleen de 'makkelijke' public key algorithmen zoals RSA en Diffie-Helman waar quantum computers wel heel erg efficient voor zijn.
27-09-2015, 04:33 door Anoniem
Volgens mij heeft iemand anders niet zo gek veel aan mijn vingerafdruk.
02-10-2015, 20:56 door Anoniem
Update: Het blijkt om volledige vingerafdrukken te gaan. Zie https://www.schneier.com/blog/archives/2015/10/stealing_finger.html voor een rijkelijk van bronvermelding voorziene analyse.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer

Welke messaging-app gebruik jij?

33 reacties
Aantal stemmen: 1124
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter