Az index a napokban számolt be arról, hogy 5 és fél millió ember ujjlenyomatát lopták el hackerek az USÁ-ban. Mivel a szövetségi kormány szervereit törték fel, így a meglopottak főként kormányzati munkatársak közül kerültek ki. Kérdés az, hogy az így megszerzett ujjlenyomatokat lehet e káros célokra felhasználni? Az ABI Intézet véleményét olvashatjuk az alábbiakban.
Ez a tartalom csak regisztrált felhasználók számára érhető el. Kérjük, jelentkezzen be vagy regisztráljon.
Az előző héten napvilágot látott információk az ellopott ujjlenyomatokról több kérdést is felvetnek. Bár elsősorban szakmai jelleggel szeretnénk körüljárni az esetet, az azért mindenképpen kérdésként vetődik fel, hogy amennyiben ezeket az adatokat (azaz az ujjlenyomatokat) nem valamilyen biometrikus azonosítás céljából rögzítették, akkor vajon milyen célból gyűjtötték be és tárolták őket?
Az OPM közleményében viszonylag kevés információval szolgál mind a konkrét esetre, mind a mögötte húzódó egyéb kérdésekre vonatkozóan. Mindössze a tényszerű adatközlésre szorítkozik, illetve arra, hogy megnyugtassa az érintetteket, hogy az ellopott biometrikus identitások felhasználása „káros célokra” nem reális jelenleg. Az ügy előzménye az az idén júniusban bejelentett incidens, melynek során hackerek 21,5 millió– elsősorban az Egyesült Államok kormányzatának alkalmazásában lévő – ember adatait lopták el.
Pontosan mit is loptak el?
Ezzel kapcsolatban biometrikus vonatkozásban több kérdés merül fel. Az első, és talán legfontosabb, hogy pontosan mit is loptak el. Az OPM közleménye ujjnyomat adatokról beszél, amely elég tágan értelmezhető. Ez éppúgy jelenthet konkrét képi információt az érintett személyek ujjáról, mint valamiféle algoritmussal feldolgozott „profilt”, vagy akár egy beléptető rendszer által alkalmazott „kódot”.
Nyilván mindegyik lehetőség más-más felhasználást tesz lehetővé.
A képi információ alapján reprodukálható lenne az ujjnyomat, és ezzel kísérletet lehet tenni valamely rendszer (például beléptetés) kijátszására, de ehhez minden esetben szükséges egy valós személy, aki jelen van a csalási kísérletnél. Ez annak fényében, hogy ismertek az ellopott identitások, komolyabb kockázatot jelent a csalók részéről. Ugyanakkor egy ilyen hamis ujjnyomatot előállítani már minimális költségből lehetséges, ahogy arról az Alkalmazott Biometria Intézet honlapján korábban beszámoltunk.
Amennyiben valamilyen feldolgozott információról van szó, akkor az identitásokon túl, szükség van annak a rendszernek, illetve algoritmusnak az ismeretére is, mellyel azokat létrehozták, vagy ahol azokat fel szeretnék használni. Ebben az esetben egy támadás során közvetlenül felhasználhatóak az ellopott ujjnyomatok, de a valós károkozás lehetősége és mértéke nagyban függ a támadott rendszer sajátosságaitól.
A kiadott közlemény szerint 5,6 millió „identitás” érintett. Arról nincs hivatalos információ, hogy ez ennyi ujjnyomatot jelent, vagy – ahogy az inkább vélelmezhető – ennyi az érintett személy, és az ő esetükben több, vagy akár az összes ujjukról van szó. Ha csak néhány ujj érintett személyenként, akkor egy egyszerű intézkedéssel, és az érintettek együttműködésével sok potenciális csalás kockázata csökkenthető. Pusztán annyit kell tenni, hogy a kompromittálódott ujjakat nem használják azonosításra a továbbiakban.
Az ellopott identitások elleni védekezésre megvan a Biometria válasza
A közlemény kiemeli, hogy a technika jelenlegi fejlettségi szintjén viszonylag alacsony a kockázata, hogy káros célokra használják fel az ellopott ujjnyomatokat. Ezzel – a fent leírtak alapján is – nagyjából egyet lehet érteni, ugyanakkor az eset rámutat fontos kérdésekre is. Például arra, hogy megfelelően átgondolt tárolással, és a biometriában már alkalmazott képességek használatával az ellopott identitások még kisebb kockázatot jelentenének mindenki számára.
Az idei Hacktivity-n az ABI előadásában is érinteni fogjuk ezt a témát, ahol más biometrikus technológia sérülékenységén túl, részletesebben foglalkozunk a felmerülő kérdéssel, és különösen az adható válaszokkal.
Kapcsolódó cikkek:
Behavioral biometrics: viselkedésalapú biometria
A Facebook arcfelismerő algoritmusa és az adatvédelem
Mennyire elfogadott a biometrikus azonosítás?
A biometrikus azonosítás alapjai