Biometrische inbreuk
Werd je gezicht onlangs gestolen?
Het is heel eenvoudig om je
wachtwoord of pincode te resetten. Je gezicht? Niet zo gemakkelijk!
Door Cameron Camp,
researcher ESET
Na een datalek kan je je
pincode, wachtwoord en je beveiligingsvragen gemakkelijk resetten. Maar kan je je
gezicht resetten? Natuurlijk, is een chirurgische ingreep altijd mogelijk, maar
dit kan vrij prijzig zijn en neemt veel tijd in beslag, en dit omdat een
leverancier onzorgvuldig omging met biometrische gegevens.
Latere resets kunnen nog
vreemder worden. Dit tilt identificatiediefstal (identify theft)naar een heel nieuw niveau. Ik kan me geen telefoontje
naar je online accounts voorstellen waarbij je zegt "Dat ben ik
niet!" Het antwoord: "Is dit jouw gezicht?" Moeilijk te beweren
dat je de frauduleuze aankoop niet hebt gedaan.
Verkopers in de
biometrische wereld weten dat ze echt gevoelige informatie beschermen, ze
zouden dus bijzonder aandachtig moeten zijn om dat niet te laten gebeuren,
toch?
Het Amerikaanse
ministerie van Binnenlandse Veiligheid had onlangs een probleem met diefstal
van biometrische gegevens (had a brush with biometric data theft) en ze worden precies verondersteld goed te zijn in het beschermen van
gegevens, misschien zelfs beter dan de meeste leveranciers in deze sector. Ze
hebben ongetwijfeld toegang tot goede bronnen. Hoe zit het met andere leveranciers?
Hier zit een
pseudo-marketing gestuurd verhaal achter: geef ons alstublieft jouw gezicht
zodat we veiligheid kunnen garanderen. Maar na jarenlang actief te zijn in
beveiliging, hebben we bij ESET geleerd dat er niet zoiets bestaat als perfecte
beveiliging, enkel betere of slechtere. Gegevens verrijken is niet nodig om
overtuigend te lijken. Het is een van de redenen waarom medische dossiers een
topdoelwit zijn voor gegevensdiefstal: ze zijn steeds dichter bij wat je zelf
bent en zijn bijzonder moeilijk te vervalsen.
Gezichtsherkenning zit in de lift. China
heeft er uitgebreid mee geƫxperimenteerd en gebruikte machine learning om de
zware "face-lift" te doen. Tal van andere landen hebben zich bij die
strijd gevoegd.
Singapore is een nationaal identiteitsbewijs
aan het invoeren (national ID based on the citizen’s face) op basis van het gezicht van de burgers. Het is onmogelijk om hierbij
geen zinnen in te voegen die ‘Orwell’ bevatten.
Je zou kunnen zeggen dat je gezicht kan
worden vastgelegd door de groeiende zwerm openbare camera's. Wat is het
probleem dan toch? Jouw biometrisch profiel, inclusief je gezicht, kan gebruikt
worden om digitaal te communiceren met een steeds groter aantal bedrijven en
organisaties waarmee je in aanraking komt. Dit kan je echte leven aanzienlijke
schade berokkenen.
Ik had een vriendin die bij de overheid
werkte en per ongeluk - door een computerstoring - dood werd verklaard. Het
heeft haar meer dan twintig jaar gekost om dat in orde te krijgen. Ze moest
haar dienstverleners ervan overtuigen dat ze niet dood was. Het was niet genoeg
dat ze met hen aan de telefoon was. Het deed vreemd aan. In hun ogen leeft ze
nu wel, maar haar pensioen is nog altijd gereset, zodat ze nu nog steeds hoeft
te werken. Terwijl ze "dood" was, heeft iemand ook haar
sociaalzekerheidsnummer gestolen en grote schulden gemaakt.
Het valt bijzonder moeilijk te bewijzen
dat je niet dood bent. Maar het is ook moeilijk te bewijzen dat je niet je
profiel, inclusief je gezicht, bent.