image

5,6 miljoen vingerafdrukken bij Amerikaanse overheid gestolen

woensdag 23 september 2015, 16:52 door Redactie, 24 reacties

Bij de hack van de Amerikaanse overheidsinstantie OPM zijn de vingerafdrukken van 5,6 miljoen mensen gestolen en niet van 1,1 miljoen, zoals eerder werd aangegeven. Dat blijkt uit onderzoek van het Office of Personnel Management (OPM) en het Amerikaanse ministerie van Defensie.

De overheidsinstantie, die verantwoordelijk is voor het screenen van ambtenaren, werd twee keer gehackt. Bij de eerste inbraak bleken de gegevens van 4,2 miljoen ambtenaren te zijn buitgemaakt. Tijdens het onderzoek naar deze inbraak werd de tweede inbraak ontdekt, waarbij veel meer gegevens waren buitgemaakt. Daarnaast ging het ook om zeer gevoelige gegevens die ambtenaren op de screeningsformulieren moesten invullen, zoals psychische problemen, drugs- en alcoholgebruik, aanhoudingen door politie, faillissementen en gebruikersnamen, wachtwoorden en in bepaalde gevallen ook vingerafdrukken. In juli werd duidelijk dat bij deze tweede inbraak de gegevens van 21,5 miljoen Amerikanen zijn gestolen.

Misbruik gegevens

Volgens experts is de kans op misbruik van de gestolen vingerafdrukgegevens beperkt. Dit kan in de toekomst, als technologie zich verder ontwikkelt, veranderen. Daarom zullen de FBI, het ministerie van Binnenlandse Veiligheid, het ministerie van Justitie en leden van de inlichtingengemeenschap een onderzoek starten om te kijken hoe deze vingerafdrukgegevens nu en in de toekomst door vijanden kunnen worden misbruikt.

De partijen zullen ook aan manieren werken om dergelijk misbruik te voorkomen. Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen. Alle getroffen individuen zullen door het OPM over het incident worden gewaarschuwd. Daarnaast komen alle gedupeerden in aanmerking voor kredietmonitoring. Iets wat de Amerikaanse overheid 133 miljoen dollar zal kosten.

Reacties (24)
23-09-2015, 16:56 door Anoniem
Volgens experts is de kans op misbruik van de gestolen vingerafdrukgegevens beperkt. Dit kan in de toekomst, als technologie zich verder ontwikkelt, veranderen.

Dan wijzigen we die tegen die tijd toch?
Oh nee, dat kan niet.

Peter
23-09-2015, 17:01 door Anoniem
Nou goh dit had ik echt niet verwacht... Het is gewoon wachten totdat dit hier in NL ook gebeurt. Vervolgens hebben criminelen de rest van jou leven de beschikking over jou vingerafdrukken. Fijne gedachte he? Zullen we ook nog maar even een DNA database maken van iedereen op de wereld? Lijkt me een fantastisch idee!!!
23-09-2015, 17:06 door Profeet
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
23-09-2015, 17:25 door Anoniem
De boef heeft zeker geen vingerafdruk achtergelaten ;-)
23-09-2015, 17:35 door Anoniem
Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
23-09-2015, 18:02 door wizzkizz
Door Profeet:
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.
23-09-2015, 19:10 door [Account Verwijderd]
Door wizzkizz:
Door Profeet:
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.

NOG NIET nee.

De magneet strip werd in de 80er jaren beschouwd als niet te vervalsen.

Een cilinder slot was lang geleden een goed manier om dingen veilig af te sluiten.
Toen kwam de klopsleutel.
23-09-2015, 19:43 door Anoniem
Typerend weer dat er staat dat het de overheid geld gaat kosten.
De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
De kans dat burgers opdraaien voor de schade nadert 100%.

Tevens onderstreept dit weer dat al dat datagraaien grenzeloos is. Niets is te dol om over een ander te weten.
En al die uiterst gevoelige informatie in handen van een groep personen waarvan het zeer de vraag is of die er zorgvuldig, verantwoord en terughoudend mee om gaan. Wat wil zeggen, in de praktijk, de echte wereld, en niet slechts "op papier".

Andere interessante vraag is hoeveel meer ambtenaren gechanteerd gaan worden hierdoor.
Er zullen vast allerlei (criminele) organisaties/personen zijn die maar wat graag dergelijk informatie zullen misbruiken voor eigen gewin.
23-09-2015, 19:45 door SPlid
Simpele oplossing, handen afhakken ;-)
23-09-2015, 20:06 door Anoniem
Door SPlid: Simpele oplossing, handen afhakken ;-)
Nee, het kan simpeler met een vingertransplantatie.
23-09-2015, 20:31 door Anoniem
Sjah, "Fingerprints are Usernames, not Passwords":
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html
23-09-2015, 20:42 door Anoniem
Met wiens vingerafdruk was die database beveiligd?
23-09-2015, 22:51 door Erik van Straten
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
Welke kenmerken precies worden opgeslagen om een vingerafdruk op een digitale vingerafdrukscanner te herkennen weet ik niet, maar ik kan mij niet voorstellen dat hierbij cryptografische hashes worden gebruikt.

Immers de kleinste wijziging in de input van een hashfunctie levert een totaal andere hashwaarde op, en op biometrische gegevens zit altijd enige variatie.
23-09-2015, 23:38 door Anoniem
Door amphihans:
Door wizzkizz: [...]
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.

NOG NIET nee.

De magneet strip werd in de 80er jaren beschouwd als niet te vervalsen.

Een cilinder slot was lang geleden een goed manier om dingen veilig af te sluiten.
Toen kwam de klopsleutel.

Een complete vingerafdruk opslaan is puur verspilling van opslagruimte. Wat meestal wordt gedaan is features extraheren en slechts een feature vector opslaan. Doordat er minder informatie, 'slechts' een beknopte unieke beschrijving, is opgeslagen is het niet meer mogelijk de volledige vingerafdruk te reconstrueren. Omdat verschillende systemen verschillende feature extractie methoden kunnen gebruik hoeft het niet zo te zijn dat de gelekte feature vectoren direct in een ander systeem toepasbaar zijn.

Door Erik van Straten:
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...
Welke kenmerken precies worden opgeslagen om een vingerafdruk op een digitale vingerafdrukscanner te herkennen weet ik niet, maar ik kan mij niet voorstellen dat hierbij cryptografische hashes worden gebruikt.

Immers de kleinste wijziging in de input van een hashfunctie levert een totaal andere hashwaarde op, en op biometrische gegevens zit altijd enige variatie.

Volledig juist. Hierom worden geen cryptografische hashfuncties gebruik, maar andere functies (bijv. fuzzy extractors) of masking methoden.
24-09-2015, 00:03 door Anoniem
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...

Maximaal nog 5 tot 10 jaar. Daarna zijn de eerste quantumcomputers geavanceerd genoeg om de huidige cryptografie nutteloos te maken.
24-09-2015, 07:42 door Anoniem
Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk..

O gelukkig, dan kunnen voortaan alle "vingerafdrukken" gewoon gestolen worden...
24-09-2015, 09:30 door Profeet - Bijgewerkt: 24-09-2015, 09:30
Door wizzkizz:
Door Profeet:
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.

Nou dat hangt er maar vanaf. Lang niet alle systemen gebruiken z'n hash functie. Tenminste dat was een paar jaar geleden zo toen ik me er is in verdiept heb. Het probleem met de hash functies is ook valse positieve. Zo goed is/was die techniek niet.
24-09-2015, 09:48 door [Account Verwijderd]
Door Anoniem:

Een complete vingerafdruk opslaan is puur verspilling van opslagruimte. Wat meestal wordt gedaan is features extraheren en slechts een feature vector opslaan. Doordat er minder informatie, 'slechts' een beknopte unieke beschrijving, is opgeslagen is het niet meer mogelijk de volledige vingerafdruk te reconstrueren. Omdat verschillende systemen verschillende feature extractie methoden kunnen gebruik hoeft het niet zo te zijn dat de gelekte feature vectoren direct in een ander systeem toepasbaar zijn.

Als een complete vinger afdruk 1 2 3 4 5 6 7 8 9 0 is en je slaat alleen maar - 2 - 4 - 5 - op tenslotte is dat uniek genoeg.
Dan hoeft de sleutel alleen maar aan de - 2 - 4 - 5 - te voldoen om binnen te komen.

Het probleem is >> NOG NIET <<

Maar een vinger afdruk slot kun je niet vervangen!!!

Hoe lang heeft het geduurd voor dat de magneetstrip door de banken vervangen werd?
Ja dat is echt zo, de magneetstrip is NU NOG STEEDS IN GEBRUIK!
24-09-2015, 10:14 door Anoniem
Door Anoniem: Sjah, "Fingerprints are Usernames, not Passwords":
http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html

Helemaal mee eens. En de spijker op zijn kop.
24-09-2015, 10:38 door Anoniem
Door Anoniem: Typerend weer dat er staat dat het de overheid geld gaat kosten.
De kans dat het de verantwoordelijken van dit debacle ook maar 1 cent gaat kosten is minimaal.
Het was een overheidsinstantie die zijn beveiliging niet goed genoeg op orde had, de overheid is wel degelijk een van de verantwoordelijken, natuurlijk kost het ze geld. Als het Amazon was geweest had het Amazon geld gekost. Van de hoofdverantwoordelijken, degenen die de gegevens hebben gestolen, hoef je natuurlijk niet veel goeds te verwachten.

Mijn eigen reactie hierop is in de praktijk kennelijk ook niet erg realistisch, maar ik blijf het desondanks tenenkrommend vinden dat er zoiets als kredietmonitoring nodig is, wat impliceert dat identiteitsdiefstal mogelijk is. Het probleem daarbij is dat je iemands identiteit kan controleren door een moeilijk te vervalsen identiteitsbewijs te inspecteren, maar beslist niet door makkelijk kopieerbare data als onfeilbaar te beschouwen, en dat is kennelijk wat op grote schaal gedaan wordt. De schade van identiteitsdiefstal zou gedragen moeten worden door degene die die identiteit niet goed heeft gecontroleerd (als de dader niet bekend is, natuurlijk), niet door degene wiens identiteit misbruikt is. Is dat onredelijk voor organisaties die hun zaken via het web doen en die niet zo makkelijk een fysiek identiteitsbewijs kunnen controleren? Jammer dan, zij kiezen er zelf voor om zo hun zaken te doen, iemand wiens identiteit is misbruikt heeft geen inspraak in die keuze gehad.
24-09-2015, 17:08 door Anoniem
Door wizzkizz:
Door Profeet:
Als blijkt dat het mogelijk is om in de toekomst de vingerafdrukgegevens te misbruiken, dan zal de Amerikaanse overheid de getroffen personen hier apart voor waarschuwen.

Ja en dan....?! Veranderd dan hun vingerafdruk ofzo? Wat gaan die mensen er tegen doen dan? Niks toch... kansloos dit. Die mensen moeten de overheid aanklagen en vette schade vergoeding eisen.
Het is niet alsof er een foto van je vingerafdruk in de database staat hoor. Het is een digitale representatie die niet terug te herleiden is naar de oorspronkelijke afdruk. Zeg maar vergelijkbaar met het hashen van een wachtwoord: je kunt wel controleren of het juiste wachtwoord is ingevoerd, maar vanuit de hash kun je het wachtwoord niet berekenen.

Desalniettemin erg vervelend dat er zoveel gegevens buit gemaakt konden worden.

Op https://defensesystems.com/articles/2015/07/15/opm-hack-fingerprints-biometrics.aspx is valt te lezen:
"The fingerprints stolen were included on in-depth background checks, rather than specifically part of a biometrics ID database, but once taken they could conceivably be used for biometric spoofing."
Zie verder ook: http://arstechnica.com/security/2015/09/opm-breach-included-five-times-more-stolen-fingerprints/

Maar gelukkig doen ze in de VS niet zo heel veel met biometrie ;) https://www.eff.org/deeplinks/2015/09/little-fanfare-fbi-ramps-biometrics-programs-yet-again-part-1
26-09-2015, 23:46 door Anoniem
Door Anoniem:
Door Anoniem: Wanneer gaan die amateurs leren dat je biometrische informatie alleen op meta niveau en in een gehashte vorm moet opslaan met een security profiel van 100 jaar veilig (qua iteraties en andere technieken)...

Maximaal nog 5 tot 10 jaar. Daarna zijn de eerste quantumcomputers geavanceerd genoeg om de huidige cryptografie nutteloos te maken.

Onzin. De verwachting van quantumcomputers is uberhaupt koffiedik kijken, en lijkt parallel te gaan met de verwachting over kernfusie .
Verder zijn er prima cryptografische algorithmen waar een quantumcomputer niet snel/snel genoeg voor is.
Quantum computers zijn niet bijzonder nuttig voor AES bijvoorbeeld (AES-256). Het zijn alleen de 'makkelijke' public key algorithmen zoals RSA en Diffie-Helman waar quantum computers wel heel erg efficient voor zijn.
27-09-2015, 04:33 door Anoniem
Volgens mij heeft iemand anders niet zo gek veel aan mijn vingerafdruk.
02-10-2015, 20:56 door Anoniem
Update: Het blijkt om volledige vingerafdrukken te gaan. Zie https://www.schneier.com/blog/archives/2015/10/stealing_finger.html voor een rijkelijk van bronvermelding voorziene analyse.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.