Gezichtsverlies

Wordt je paspoort gejat, dan komt daar geheid ellende van. Maar je kunt een nieuw exemplaar aanvragen. Hopelijk word je al doende niet het slachtoffer van identiteitsfraude: met de nasleep daarvan kun je nog jaren zoet zijn. Denk aan mobieltjes die op jouw naam zijn aangeschaft, onterechte bekeuringen, valselijk afgesloten leningen.

Met biometrische gegevens ligt het anders. Zijn je gezichtsscan of je vingerafdrukken in verkeerde handen beland, dan ben je voorgoed de pineut, je kunt geen andere facie of vingers aanvragen. Voor de rest van je leven kunnen jouw onuitwisbare kenmerken door derden worden misbruikt.

Daarom was de ontdekking van security-experts eerder deze maand zo onthutsend. Biostar 2, een biometrisch beveiligingssysteem waarin miljoenen gebruikers zijn opgeslagen, is zo lek als een mandje. De experts ontdekten onbeveiligde Biostar 2-servers, en zagen dat de gegevens van gebruikers er onversleuteld waren opgeslagen: namen, wachtwoorden, woonadressen, gezichtsscans, vingerafdrukken, rangen, toegangscodes – de hele rataplan. Het betrof ruim 27 miljoen records. De experts konden de data uitlezen, wissen, of veranderen. Ze konden zelfs valse gebruikers aanmaken, compleet met vingerafdrukken en gezichtsscan.

Biostar 2, eigendom van Suprema, is onderdeel van het beveiligingssysteem AEOS, dat door 5700 organisaties in 83 landen wordt gebruikt. Die organisaties variëren van sportclubs tot overheidsinstanties, van de Londense politie tot banken, van defensiebedrijven tot – o ironie – een identiteitspasjesfabrikant.

Nadat de security-experts Suprema waarschuwden, dichtte het bedrijf het gat op zijn servers. Maar Biostar slaat de gegevens nog immer onversleuteld op, zodat die nog altijd hoogst kwetsbaar zijn. En eigenlijk heeft een beveiligingsbedrijf dat zulke basale fouten maakt (‘Suprema: koploper in biometrie, beveiliging en identiteitscontroles’, pochen ze zelf), zichzelf volkomen gediskwalificeerd. Niemand zou nog zaken met ze moeten doen, en Suprema verdient een vette boete per blootgesteld record.

Zulke verhalen zijn reden tot grote zorg. Iemands gezichtsscan en vingerafdrukken zouden slechts bij hoge uitzondering mogen worden afgenomen, en uitsluitend onder stringente beveiliging worden opgeslagen, geraadpleegd of gedeeld. Elke fout die ermee wordt gemaakt is immers onherstelbaar, en levert levenslang risico’s op voor de benadeelden. Plus dat locaties er lek van worden: aangezien hackers nieuwe gebruikers konden aanmaken, kon feitelijk iedereen op die manier een met Biostar beveiligde locatie binnenlopen.

Misschien, zo opperen de security-experts, is betalen met je duimafdruk niet zo’n goed idee wanneer onze vingerafdrukken zo slecht beveiligd worden. Misschien moet je geen lid willen worden van een sportclub die een gezichtsscan wil als toegangscode. En misschien moeten we van overheden eisen dat ze biometrische gegevens zwaarder bewaken.

[Beeld: izusek/Getty Images/iStockphoto, via The Guardian]


Schrijf een reactie

E-mail adressen worden niet getoond noch aan derden doorgegeven.
Verplichte velden zijn gemarkeerd met een *