image

Onderzoekers vinden biometrische data op tweedehands militaire apparatuur VS

dinsdag 27 december 2022, 10:45 door Redactie, 4 reacties

Onderzoekers van de Duitse hackersclub CCC hebben op apparatuur die het Amerikaanse leger in Afghanistan en Irak inzette de biometrische gegevens van 2600 personen aangetroffen. De apparatuur kon gewoon via een online veiling worden aangeschaft. Onderzoek wees uit dat alle aangekochte apparaten onversleuteld waren en er via een standaardwachtwoord toegang kon worden verkregen.

Verder bleek dat de gebruikte databases op de apparaten een standaardformaat gebruiken en eenvoudig te exporteren zijn. De databases van de verschillende opgekochte apparaten bleken allerlei gevoelige gegevens te bevatten. Het ging om namen en biometrische gegevens van wee Amerikaanse militairen, gps-coördinaten van eerdere inzetlocaties en een uitgebreide biometrische database met namen, vingerafdrukken, irisscans en foto's van 2.632 mensen. Het apparaat met deze database bleek halverwege 2012 voor het laatst ergens tussen Kabul en Kandahar te zijn gebruikt.

Na de ontdekking van de gevoelige gegevens waarschuwde de CCC de fabrikant dat de apparaten gewoon via internet zijn te bestellen. "Niemand lijkt echter om het datalek te geven", aldus de hackersclub. Ruim twee maanden na de melding bleek het nog steeds mogelijk zijn om de apparatuur online aan te schaffen. "Het is voor ons onbegrijpelijk dat het de fabrikanten en voormalige militaire gebruikers niets kan schelen dat gebruikte apparaten met gevoelige gegevens online worden verkocht", zegt Matthias Marx van de CCC. De Duitse hackersclub stelt dat er geen ontsnappen aan biometrische surveillance is. "We kunnen niet zomaar onze biometrische data veranderen."

Reacties (4)
27-12-2022, 11:09 door Erik van Straten
De hoogste betrouwbaarheid van authenticatie op afstand (online) krijg je alleen met shared secrets of asymmetrische cryptografie. Voorwaarden daarvoor zijn dat de verifiërende partij zeker weet van wie een shared secret of een public key is, dat de authenticerende partij zeker weet wie de verifiërende partij is op het moment van authenticatie (om Attacker in the Middle aanvallen uit te sluiten), en dat secrets niet worden gelekt, kunnen worden geraden, gegokt of op de één of andere manier gebrute-forced kunnen worden (inclusief middels dictionary attacks).

Biometrische informatie is kan sterk identificerend zijn. Alleen als je zeker weet van wie een "afdruk" is, kun je daar iemand "live", "face to face", (min of meer betrouwbaar) mee authenticeren. Op afstand (online) authenticeren met biometrie geeft schijnveiligheid.
27-12-2022, 11:48 door Anoniem
Niks mis mee dat zo'n apparaat 'gewoon' te bestellen is. Wel dat het verkocht wordt zonder de data te verwijderen - er zal wel geen 'protocol' of 'procedure' voor zijn...
27-12-2022, 12:47 door Anoniem
Na de val van Kabul, op 15 augustus 2021, viel ook biometrische HIIDE 5 apparatuur van de Amerikanen in de handen van het Taliban regime. Als de Amerikanen zo slordig omsprongen met de beveiliging van dat soort apparatuur, zoals de CCC ontdekte, dan mag men gerust aannemen dat namen en gegevens van NAVO miltairen, en mogelijk ook die van journalisten en personeel van westerse hulporganisaties, in de handen van de islamitische terreurbeweging zijn gevallen.

https://www.nrc.nl/nieuws/2021/08/19/biometrie-van-vs-is-nu-risico-voor-afghanen-a4055415
28-12-2022, 08:16 door Bitje-scheef
Door Anoniem: Na de val van Kabul, op 15 augustus 2021, viel ook biometrische HIIDE 5 apparatuur van de Amerikanen in de handen van het Taliban regime. Als de Amerikanen zo slordig omsprongen met de beveiliging van dat soort apparatuur, zoals de CCC ontdekte, dan mag men gerust aannemen dat namen en gegevens van NAVO miltairen, en mogelijk ook die van journalisten en personeel van westerse hulporganisaties, in de handen van de islamitische terreurbeweging zijn gevallen.

https://www.nrc.nl/nieuws/2021/08/19/biometrie-van-vs-is-nu-risico-voor-afghanen-a4055415

Ja precies. De overgang was behoorlijk chaotisch. Maar dit is gewoon nalatigheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.