Onderzoekers vinden openbare database met miljoenen vingerafdrukken op internet

Een database met biometrische gegevens als vingerafdrukken en gezichtsscans van ruim een miljoen mensen was openbaar via internet te benaderen. De gegevens werden verzameld als authenticatiemethode voor bedrijfspanden. Inmiddels is de database offline.

Het lek zit in Biostar-2, een 'webgebaseerd, open en geïntegreerd beveiligingsplatform' waarmee gebruikers zich online kunnen identificeren bij diensten van derde partijen. Het gaat om een gecentraliseerde dienst waarmee naast gebruikersnamen en wachtwoorden ook biometrische gegevens kunnen worden opgeslagen. Die worden door bedrijven gebruikt voor bijvoorbeeld toegang tot panden of faciliteiten. Het platform wordt gemaakt door het bedrijf Suprema, en wordt wereldwijd door 5700 bedrijven in 83 landen gebruikt. Daar zitten ook onder andere de Belgische tak van uitzendbureau Adecco bij. Of er Nederlandse bedrijven zijn die van de Biostar-2-database gebruik maken is niet bekend. De onderzoekers zeggen dat zij in hun onderzoek gebruik maakten van sampling en daarom niet specifiek kunnen zeggen om hoeveel specifieke gevallen het gaat.

De database werd ontdekt door een team van Israëlische beveiligingsonderzoekers die samenwerkten met VPNmentor, een dienst voor het reviewen van vpn's. Zij deden port scans om openstaande systemen te detecteren en kwamen zo de database tegen. Het gaat om een Elasticsearch-database die normaal niet te benaderen is via url's, maar dat in dit geval toch was. De onderzoekers wisten de url's van de database zo te manipuleren dat zij er informatie uit konden achterhalen.

In die database stonden meer dan 27,8 miljoen records, met een totale omvang van 23 gigabyte. Die gegevens bestonden naast vingerafdrukken en gezichtsscans ook uit gebruikersnamen en onversleutelde wachtwoorden, logs van toegang tot gebouwen, beveiligingsniveau's van medewerkers en persoonlijke informatie van werknemers. De onderzoekers merken ook op dat de vingerafdrukken in hun geheel werden opgeslagen, in plaats van alleen een hash daarvan. De onderzoekers wisten de informatie niet alleen in te zien, maar ook nieuwe gebruikers toe te voegen en data te wijzigen. Zo konden zij hun eigen vingerafdruk toevoegen aan specifieke gebruikersaccounts.

De onderzoekers ontdekten het lek eerder deze maand en lichtten het bedrijf erachter in. Die heeft nog geen officiële reactie gegeven, maar de database is inmiddels niet meer online te vinden. Daarop besloten de onderzoekers hun bevindingen alsnog te publiceren. Hoe lang de data openbaar te vinden is geweest en of daar misbruik van is gemaakt is niet bekend.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 14-08-2019 13:20150

14-08-2019 • 13:20

150 Linkedin

Lees meer

Vpn-dienst zette plaintext wachtwoorden in onbeveiligde Elasticsearch-database Nieuws van 17 juli 2020
Gegevens van 2,4 miljoen Wyze Labs-gebruikers waren drie weken toegankelijk Nieuws van 30 december 2019
Lek Canadees financieel bedrijf trof niet 2,7 miljoen maar 4,2 miljoen mensen Nieuws van 2 november 2019
Adobe had database met gegevens 7,5 miljoen klanten onbeveiligd online staan Nieuws van 27 oktober 2019
België start eind dit jaar testfase voor vingerafdrukken in id-kaart Nieuws van 27 september 2019
Gebruikersgegevens van pdf-lezer Foxit zijn gestolen bij datalek Nieuws van 30 augustus 2019
Gehashte wachtwoorden van 14 miljoen Hostinger-klanten zijn uitgelekt Nieuws van 26 augustus 2019
MIT ontwikkelt protocol voor efficiënt verdelen bandbreedte bij videostreamen Nieuws van 20 augustus 2019
Gemeente Etten-Leur lekt 2000 e-mailadressen van inwoners Nieuws van 16 augustus 2019
Naw-gegevens uit RDW-database worden te koop aangeboden op internet Nieuws van 23 juli 2019
Politiedatabase bevat 2,2 miljoen afbeeldingen van 1,3 miljoen mensen Nieuws van 19 juli 2019
Datalek bij Belgisch sociaal netwerk Netlog in 2012 omvatte 49 miljoen accounts Nieuws van 15 juli 2019
Klantgegevens AEG Industrial Solar staan op slecht beveiligde Chinese server Nieuws van 21 juni 2019
Meer producten en artikelen
Beveiliging en antivirus Beveiliging Biometrie Database Datalek

Reacties (150)

-Moderatie-faq
150
144
68
10
0
55
Wijzig sortering
batjes
14 augustus 2019 13:25
De Belgische Adecco breekt dus de AVG.
Volgens de AVG is het verwerken van biometrische gegevens om iemand te identificeren in beginsel verboden.

[Reactie gewijzigd door batjes op 14 augustus 2019 13:25]

MartijnHavinga
@batjes14 augustus 2019 13:28
In benginsel wellicht wel. Maar je kan als bedrijf een zwaarwegend belang hebben waardoor het alsnog toegestaan is. Denk bijvoorbeeld aan een voedselverwerkingsbedrijf waarbij je niet met pasjes mag rondlopen omdat die in de lijn kunnen vallen. Verder als de beveiliging dermate belangrijk is dat er (bovenop een pas / sleutel) biometrische gegevens nodig zijn dan mag dit ook.
HuisRocker
@MartijnHavinga14 augustus 2019 14:05
Tsja, zo interpreteren de meeste bedrijven het inderdaad, maar ook in het door jou genoemde geval mag het nog steeds niet (van de AVG)!

Je moet het zo lezen:
Alleen als het met alle andere normale (lees: niet AVG gerelateerde) middelen en manieren onmogelijk blijkt te zijn kan (met nadruk kan, nog steeds niet altijd dus) er sprake zijn van "zwaarwegend belang".

Je snapt zelf ook wel dat er voor je "vallende pasjes in voedingsmiddelenindustrie" probleem vreselijk veel andere oplossingen te bedenken zijn, daarom kan er van zwaarwegend belang onmogelijk sprake zijn.

Dat al die andere oplossingen misschien (iets) duurder zijn is de werkelijke reden dat bedrijven bij iedere AVG kwestie de zin "Ja eh, maar eh, oh wacht, dit is zwaarwegend belang!" ten gehore brengen...

Lang leve geld boven alles! ;)
batjes
@MartijnHavinga14 augustus 2019 13:33
Er moet inderdaad een goede reden voor zijn. Om in en uit te klokken is dit wel verboden. Als de toegang tot het bedrijf of onderdelen hiervan gerealiseerd kan worden met pasjes of druppels, is het ook verboden.

Vallende pasjes lossen we waar ik nu werk op met van die uitrolbare touwtjes aan een clipje.

Waar ik ~2 jaar geleden werkte werd het ook toegepast om in en uit te klokken, dit hebben ze bij de invoer van de AVG snel omgezet naar druppels (die daarvoor wel optioneel waren).

Je moet echt een goede reden hebben wil je biometrische gegevens gebruiken van je personeel. Gezien de hoeveelheid bedrijven en toepassing hiervan, lijkt me het in de meeste gevallen niet meer dan gemakzucht.
Dennisdn
@batjes14 augustus 2019 15:57
Elke grote bouwplaats werkt tegenwoordig met vingerafdruk-entree waarmee de bouwlieden en onderaannemers zich moeten aanmelden. Dus zo spannend zal het niet zijn.

[Reactie gewijzigd door Dennisdn op 14 augustus 2019 15:58]

Alex3
@Dennisdn14 augustus 2019 17:51
Dan zijn ze kennelijk niet op de hoogte van de regels.
Harry21
@Alex315 augustus 2019 17:51
Nee en het UWV ook niet, want als je weigert,kom je de bouwplaats niet op en is het werkweigering. Korten op je uitkering dus. Je krijgt gewoon straf!
CivLord
@Dennisdn15 augustus 2019 09:41
Dat is knap. Dan hebben ze dus vingerafdrukscanners die door eelt of afgesleten vingerafdrukken heen kunnen scannen.
In mijn omgeving hebben mensen die in de bouw werken of ander zwaar werk met hun handen verrichten juist grote moeite met vingerafdrukscanners in hun telefoon of bij de gemeente voor een paspoort.
Een vingerafdruk gebruiken voor toegang tot een bouwplaats voor de bouwvakkers zelf lijkt mij vragen om problemen.
Dennisdn
@CivLord15 augustus 2019 11:59
Alle grote bouwers doen het, dan zal het vast wel werken.

Hier bijvoorbeeld een verklaring van Dura Vermeer hoe ze met de privacy omgaan:
https://www.duravermeer.n...Bouwplaats%20Check-in.pdf

En advertentie van één van de leveranciers:
https://acties.cobouw.nl/...3184-605509391.1565863184

[Reactie gewijzigd door Dennisdn op 15 augustus 2019 12:02]

Knorretje-
@batjes14 augustus 2019 14:01
Ik werk in een supermarkt waar iedereen in- en uitklokt met vingerscan. Er wordt wel alleen een hash opgeslagen van de vingerafdruk. Is dit dus niet toegestaan?
Steyn_E
@Knorretje-14 augustus 2019 14:23
Nee, in principe is dit niet toegestaan. Er zijn immers voldoende alternatieven voor dit doeleinde (pasjes, tags, QR scanner) en daarmee is het verwerken van biometrische gegevens niet toegestaan, er is geen noodzaak.
maxkoudijs
@Steyn_E14 augustus 2019 15:19
https://autoriteitpersoon...n/identificatie/biometrie
Bron ter onderbouwing van je argument.

Uw werkgever moet daarom vooraf een afweging maken of identificatie met biometrische gegevens noodzakelijk is. Dat betekent dat uw werkgever moet afwegen of gebouwen en informatiesystemen zó goed beveiligd moeten zijn dat dit niet anders kan dan door (alleen) biometrie te gebruiken.

Het lijkt me niet dat er voldoende noodzaak bestaat bij een supermarkt voor het gebruik van biometrische beveiliging.

Daar komt nog bovenop:
Let op: heeft uw werkgever geen noodzaak? Maar vraagt hij u in plaats daarvan om toestemming om uw vingerafdruk te verwerken? Dat mag niet. U bent namelijk afhankelijk van uw werkgever, dus niet in een positie om te kunnen weigeren.
Knorretje-
@maxkoudijs15 augustus 2019 04:29
Het volgende staat er ook. Als je 'sportschool' zou vervangen voor 'supermarkt' dan lijkt het te mogen, als ze maar een alternatief hebben zoals pasjes. Dit klinkt weer verre van 'verboden'

----

Uw sportschool kan u vragen om een vingerafdruk te geven. Bijvoorbeeld voor toegangscontrole. Maar u bent niet verplicht om uw vingerafdruk af te staan.

Toestemming
Uw sportschool heeft geen noodzaak om uw vingerafdruk te verwerken. Uw sportschool mag uw vingerafdruk daarom alleen gebruiken als u hiervoor toestemming geeft.

De sportschool moet u daarbij de mogelijkheid bieden om uzelf op een andere manier te identificeren. Bijvoorbeeld door uw identiteitsbewijs te laten zien of een toegangspas te gebruiken.

[Reactie gewijzigd door Knorretje- op 15 augustus 2019 04:31]

martenjacobs
@Knorretje-15 augustus 2019 06:56
Ja, dat zal dan precies het verschil zijn tussen een bedrijf waar je klant bent, of een bedrijf waar je werkt, zoals @maxkoudijs aangeeft:
Let op: heeft uw werkgever geen noodzaak? Maar vraagt hij u in plaats daarvan om toestemming om uw vingerafdruk te verwerken? Dat mag niet. U bent namelijk afhankelijk van uw werkgever, dus niet in een positie om te kunnen weigeren.
Orphu
@Knorretje-14 augustus 2019 14:10
Dan zou ik toch je werkgever daarover aanspreken, of het melden bij de AP
SuperDre
@batjes14 augustus 2019 13:44
Vallende pasjes lossen we waar ik nu werk op met van die uitrolbare touwtjes aan een clipje.
Maar dan werken jullie ook niet met productielijnen etc, want dat touwtje kan dus iemand heel snel ineens een lijn intrekken met ernstige gevolgen.
Stoelpoot
@SuperDre14 augustus 2019 13:56
Voor zover ik ze ken is zo'n touwtje het zwakste punt. Als je daar een mens aan mee gaat trekken, dan breekt het touwtje gewoon.
SuperDre
@Stoelpoot14 augustus 2019 14:14
Nou, degene die ik had was gewoon een soort van staaldraad, kon je gewoon met je hele gewicht aan gaan hangen.. En clipjes willen ook nog wel eens blijven hangen.. Het zijn niet allemaal van die aliexpres dingetjes ;)
Stoelpoot
@SuperDre14 augustus 2019 14:17
Dat is dan wel heel bijzonder. Ik heb ze nog nooit gezien met meer dan een stukje garen wat ik ook van m'n moeder had kunnen krijgen.
batjes
@SuperDre14 augustus 2019 16:24
Bedrijf beknibbelt dus op de kosten op het gebied van veiligheid x.x En men kiest dus voor biometrisch identificeren uit gemakzucht. Die we hier hebben is van plastic, kun je met je eigen handen door midden trekken. Zou dus niet een persoon een machine in moeten kunnen trekken.

Verder heb ik ook in productiehallen en magazijnen gewerkt, een druppel werkt ook prima.
Iblies
@batjes14 augustus 2019 16:56
Een druppel is veel gevallen zelfs veiliger.

Een vingerafdruk kun je relatief makkelijk kopiëren, terwijl een pasje of druppel vervangen moet worden. Desbetreffende persoon komt er simpelweg niet ik zonder een nieuwe aan te vragen en dan kan de oude geblokkeerd worden.
gevoelig
@Iblies14 augustus 2019 18:50
Druppel? Wat wordt hiermee bedoeld?
iamcj
@gevoelig14 augustus 2019 19:54
Een tag die je langs een scanner haalt.
rijsd052
@gevoelig14 augustus 2019 21:03
Een druppel is een RFID chip die vaak bij bedrijven wordt gebruikt om toegang te krijgen tot een gebouw / afdeling. Maar het kan ook gebruikt worden om in te klokken, of om bijvoorbeeld op een netwerkprinter je print opdracht uit te voeren.

Zie ook
https://www.slimmedeuroplossing.nl/deur-openen-tag/
raro007
@SuperDre14 augustus 2019 13:59
idd clipje laat lost met de persoon is er niks aan de hand, maar dat de pasje een lijn van een miljoen beschadigt....
mancide
@batjes14 augustus 2019 15:27
Biometrische beveiliging is NIET veiliger! Vingerafdrukken en dergelijke worden in de lezer opgeslagen. Het volstaat dus de lezer van de muur plukken en je hebt de gegevens van alle personen die toegang hebben.

Kaart + pincode is in dit geval veiliger omdat deze gegevens door de lezer doorgestuurd worden naar een centraal systeem en daar opgeslagen en verwerkt worden. Het centraal systeem geeft of weigert dan de toegang.

Daarnaast kan je een kaart die verloren gaat blokkeren of een pincode wijzigen.

Extra leuke opties zijn bij "holdup" een stil alarm triggeren door een alternatieve pincode in te geven.
CivLord
@mancide15 augustus 2019 09:37
Biometrische beveiliging is NIET veiliger! Vingerafdrukken en dergelijke worden in de lezer opgeslagen. Het volstaat dus de lezer van de muur plukken en je hebt de gegevens van alle personen die toegang hebben.
Hoe zie je dat voor je? Losse units waar een systeembeheerder langs moet bij iedere update van nieuwe of vertrokken werknemers?
Kaart + pincode is in dit geval veiliger omdat deze gegevens door de lezer doorgestuurd worden naar een centraal systeem en daar opgeslagen en verwerkt worden. Het centraal systeem geeft of weigert dan de toegang.
Biometrische beveiliging werkt volgens hetzelfde principe. De lezer bij een toegangsdeur scant je vingerafdruk, berekent daar een hash uit en stuurt die naar een centraal systeem. Dat systeem vergelijkt die hash met de opgeslagen hashes en stuurt een signaal terug dat er wel of niet toegang verleend moet worden.
Wanneer het systeem goed is opgezet wordt er centraal ook alleen een hash van een vingerafdruk opgeslagen en niet zoals in de database waar dit artikel over gaat, een scan van de vingerafdruk zelf.
divvid
@batjes14 augustus 2019 21:45
Vroegah..... bij mijn vader op zn werk(e-centrale) hadden ze een portier. De beste man heette Buitenhek ( ja echt, je verzint het niet)
Kende iedereen en er kwam geen vreemde binnen zonder aanmelding.

Maar ja... wegbezuinigd....
Max|Burn
@divvid15 augustus 2019 06:55
Buitenhek wist ook van eventuele medewerkers af die de dag ervoor ontslagen waren wegens wangedrag en toch naar binnen probeerde te komen ? Dat is dan wel een topsysteem ja ;)
divvid
@Max|Burn15 augustus 2019 09:11
Eerlijk gezegd denk ik dat wel, soort centrale roddel plek.
Natuurlijk kan dat niet meer, maar om nou biometrie in te zetten op een bouwplaats gaat wat ver.
KISS geldt ook voor dit soort zaken, gewoon een pasje en pincode is in normale omgevingen behoorlijk veilig en pragmatisch
Marcel Br
@divvid15 augustus 2019 11:13
Buitenhek wist het eerder dan de medewerker zelf :)
CivLord
@divvid15 augustus 2019 09:43
Ik denk dat het verloop in personeel en de inzet van tijdelijke (uitzend)krachten iets groter geworden is tegenwoordig. Dat zal voor een portier best lastig zijn om bij te houden.
number3
@batjes14 augustus 2019 14:54
O ja, is het verboden om biometrische data te verwerken. Waar in de AVG staat dat?
batjes
@number314 augustus 2019 15:21
https://autoriteitpersoon...n/identificatie/biometrie

Je moet als bedrijf echt een hele goede reden hebben om dit toe te passen. Als er een alternatief mogelijk is voor identificatie is het verboden biometrie toe te passen.
number3
@batjes14 augustus 2019 23:31
Dank je voor de link. Nu maar hopen dat de overheid al die partijen met camera’s langs de straat gaat aanpakken. En al die techbedrijven met hun gezichtsherkenning software in foto apps en vingerafdruk op smartphones. Allemaal biometrische data verwerking. En wie garandeert mij dat die data niet toch centraal verwerkt wordt.

De AP heeft een mooie wet, nu de handhaving op schaal.
DaManiac
@batjes14 augustus 2019 13:28
Tenzij goedkeuring gegeven is door de gebruikers en een verwerkersovereenkomst gesloten is met Biostar-2.
batjes
@DaManiac14 augustus 2019 13:35
Goedkeuring van gebruikers, de werkgever zit in een machtspositie, gezien het ook toegepast wordt bij de Belgische Adecco, dat is echt geen hoogopgeleiden uitzendbureau met kritieke functies. Maar meer voor de onderkant van de samenleving. Niet goedkeuren = geen baan.

Het is dan gewoon verboden.
michaelkamen
@batjes14 augustus 2019 14:04
De AP heeft een tijdje geleden bij een Nederlands bedrijf geoordeeld dat de toestemming die werknemers hadden gegeven voor het verzamelen van bijzondere persoonsgegevens niet geldig was.
Voorwaarde is dat de toestemming vrijwillig wordt gegeven, en volgens de AP is die vrijwilligheid er niet in een werknemer-werkgever situatie.
Hier zou meer ruchtbaarheid aan gegeven mogen worden.
T-men
@michaelkamen14 augustus 2019 14:18
Interessant... heb je toevallig ook een bron ?

Edit:
Zelf al gevonden (bron AP):
Toestemming geldt niet

Let op: heeft uw werkgever geen noodzaak? Maar vraagt hij u in plaats daarvan om toestemming om uw vingerafdruk te verwerken? Dat mag niet. U bent namelijk afhankelijk van uw werkgever, dus niet in een positie om te kunnen weigeren.

[Reactie gewijzigd door T-men op 14 augustus 2019 14:55]

R4gnax
@T-men19 augustus 2019 20:56
Voor de compleetheid:

het AP baseert zich hierbij op overweging #43 van de AVG:
Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend.
Dit geldt bij elke wanverhouding; met name bij overheidsinstanties, maar dus ook bij werkgever. Of bij zaken zoals patientendossiers. Of misschien voor financiële dienstverleners waar er zwaarwegende financiële belangen zijn en ineens bepaalde service-voorwaarden veranderen die toestemming tot verwerking van bepaalde gegevens vereisen om een financieel product of de dienstverlening daar rondom in stand te houden.


De overwegingen zijn bij de AVG de moeite waard om door te nemen. Staat wel meer interessant spul in.

Wist je bijv. dat het de intentie is dat het verboden is voor websites om bij herhaling een gebruiker om toestemming te blijven vragen? Overweging #32 stelt namelijk dat:
Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.
Ga je nergens als zodanig geformuleerd in de wetstekst terug vinden, maar dient weldegelijk in acht genomen te worden in de context van zaken die wel expliciet in de wetstekst omschreven staan, betr. de eisen die aan toestemming gesteld worden.

[Reactie gewijzigd door R4gnax op 19 augustus 2019 21:04]

SuperDre
@batjes14 augustus 2019 13:42
Let wel, het zal hier gaan om de directe medewerkers van Adecco, niet om de uitzendkrachten.
En het is dus NIET gewoon verboden, er zitten dus voorwaarden aan.
HuisRocker
@SuperDre14 augustus 2019 14:25
Ook in dat geval zijn er heel veel andere oplossingen, dus WEL gewoon verboden (als er tenminste genoeg werknemers met een gezond, en dus ook kritisch denkend, stel hersenen rondlopen en dus zullen weigeren om voor dit soort onzin vingerafdrukken te gebruiken).

Domheid/afhankelijkheid van werknemers en/of dwang/gemakzucht van werkgevers heeft in theorie natuurlijk niets met de AVG te maken, maar in de praktijk des te meer! Helaas...
SuperDre
@HuisRocker14 augustus 2019 22:46
Dus jij gebruikt ook geen vingerafdruk op je telefoon? Genoeg werknemers die ook liever via vingerafdruk zullen willen doen, want dan hoeven ze niet de hele tijd zo'n irritant ding mee te sjouwen die je ook weer eens kwijt kunt raken of vergeten..
vrow
@SuperDre15 augustus 2019 00:20
De vingerafdruk die je voor je telefoon gebruikt, daarvan wordt de hash gebruikt voor ontgrendelen. Deze hash is niet terug te herleiden naar een vingerafdruk en deze hash verlaat nooit je telefoon.
Daarnaast kun je het je telefoon wel gewoon weigeren, hij stelt het je niet verplicht. De toestemming die je dus geeft door dit te gebruiken, is dus geldig.
die4ever
@batjes14 augustus 2019 13:34
Als er ernstige redenen voor zijn zoals bijvoorbeeld beveiliging van gevoelige zones mag het wel.
Of dit nu de beste methode is in dit geval betwijfel ik ten zeerste.

https://www.gegevensbesch...e/personeelsidentificatie
Tyrian
14 augustus 2019 13:27
...getroffen gebruikers wordt geadviseerd om hun vingerafdruk te veranderen...

(Dit is de reden om zeer terughoudend te zijn met het verstrekken van biometrische gegevens aan derden.)
Paulus73
@Tyrian14 augustus 2019 13:32
Ondanks de ernst van de zaak moest ik hier toch om lachen.....
Mel33
@Paulus7314 augustus 2019 13:50
Ja ik eerst ook, tot ik vergeten was dat ik bij mijn iphone, dus 4 van mijn vingers/duimen had geregistreerd, Oke nu blijft het op de telefoon in dit geval, maar ja, men is mooi de sjaak als ze alle vingers hebben. dus om zo maar weer te veranderen is wel een optie maar ik zou dan heel selectief zijn, waar ik ze dan nog geef.

En ik had dus het gemak van meerdere vingers (om dat je de telefoon ook wel eens met je andere hand pakt) gekozen boven de veiligheid, van het niet alle paswoorden/verificatie het zelfde te laten zijn voor meerdere dingen/telefoons/deuren
er0mess
@Mel3314 augustus 2019 14:18
Die worden lokaal opgeslagen op je telefoon...
Anoniem: 310408
@er0mess14 augustus 2019 15:27
Nee, alleen een hash van je vingerafdruk is opgeslagen, niet de afdruk. De afdruk opslaan is absoluut niet correct en zou nooit mogen gebeuren. Dit bedrijf heeft hier fout op fout gestapeld.
mancide
@er0mess14 augustus 2019 15:17
en wordt er geen automatische backup van je telefoon naar de cloud uitgevoerd?
RebelwaClue
@mancide14 augustus 2019 15:27
Dat gedeelte blijft in de Secure enclave van de telefoon en is ook niet terug te herleiden naar een echte vingerafdruk. Je moet daarom ook bij elk nieuw apparaat je vinger opnieuw toevoegen.
erikmeuk3
@Mel3314 augustus 2019 16:51
Met een vingerafdruk scanner achter het scherm is het afwachten dat dit misbruikt zal worden.
Gegevens opzuigen, van iedere vinger die het scherm aan raakt.
AuteurTijs Hofmans
@Tyrian14 augustus 2019 13:49
"We hebben voor de zekerheid de vingerafdrukken van klanten gereset" :)
Blokker_1999
@Tijs Hofmans14 augustus 2019 13:57
Uiteraard blijft het belangrijk om voor elke dienst een aparte vingerafdruk te gebruiken.
arnold_m
@Blokker_199914 augustus 2019 14:13
Had ik voor Tweakers nou mijn linker- of rechterringvinger gebruikt?
Sme4gle
@arnold_m14 augustus 2019 14:18
Ik gebruik mijn linker duim altijd voor belangrijke zaken. De rechter gebruik ik op de wat meer shady websites.
verci
@Sme4gle14 augustus 2019 14:36
Denkt nu werkelijk niemand eraan om zijn tenen te gebruiken hiervoor?
Christoxz
@verci14 augustus 2019 14:54
Of je neus ;) Of was dit nou alleen bij katten uniek..

[Reactie gewijzigd door Christoxz op 14 augustus 2019 14:54]

ThaJens
@Christoxz14 augustus 2019 17:31
Ik kan bevestigen dat je neus als vingerafdruk werkt (of werkte) op de Galaxy S7. Nu de Rijksoverheid nog overhalen. :P
max3D
@ThaJens14 augustus 2019 19:42
Neus net geregistreerd. Dank voor de tip. Als ik ooit geboeid ben, kan ik nu toch unlocken. Nu nog leren tikken met mijn neus zodat ik 112 kan bellen
Cerberus_tm
@Christoxz14 augustus 2019 15:36
Of...
DrClaw
@Christoxz14 augustus 2019 15:47
of .. de biometrie van oren:
https://www.newscientist....ay-beat-face-recognition/
bbob
@Blokker_199914 augustus 2019 14:16
Of gebruik verplicht 4 vingerafdrukken in een bepaalde volgorde, 4 cijferige vingerafdrukcode.
litebyte
@bbob14 augustus 2019 14:55
Ik gebruik altijd mijn middelvinger bij dit soort beveiligingen
bbob
@litebyte14 augustus 2019 14:58
Je linker, rechter of in stereo :)
Greatsword
@litebyte14 augustus 2019 17:36
Bedankt voor de lachkik
marvanengel
@Blokker_199914 augustus 2019 16:50
Mensen met polydactylie +1!
laptopleon
@Blokker_199914 augustus 2019 16:52
Tenen worden ook geaccepteerd.

Slippers, pantoffels, klittebandsluitingen en klompen gaan weer populair worden en nu weet je waarom.
JW1
@Tijs Hofmans14 augustus 2019 14:39
Dus je kan je vingerafdrukken resetten :o ? Dat is een gat in markt voor inbrekers en ander tuig. Daar zal de politie blij mee zijn.
Drunken_Bear
@JW114 augustus 2019 15:29
aan de ene kant hoop ik dat dit sarcasme is, aan de andere kant ook weer niet :+
Geerbeer94
@JW114 augustus 2019 16:41
Het is geen gat in de markt, je fornuis "reset" wel even je vingerafdrukken. Pijnloos resetten zou een gat in de markt zijn.
djwice
@Geerbeer9414 augustus 2019 17:13
Pijnstillers :O
P_Tingen
@Tyrian14 augustus 2019 14:42
Het opslaan van vingerafdrukken in zijn geheel is natuurlijk - laten we zeggen - beperkt handig

Maar ook het opslaan van alleen de hash lijkt me niet veilig genoeg. Zou je de hash niet per applicatie moeten versleutelen? Als je vingerafdrukhash bekend is zou een hacker in theorie daarmee overal in kunnen komen. Als die hash versleuteld is, moet de hacker ook nog de versleuteling zien te kraken.
Bram®
@P_Tingen14 augustus 2019 16:56
Wellicht zou je daarvoor iets zoals salting kunnen toepassen
P_Tingen
@Bram®14 augustus 2019 18:16
Precies, een salt toevoegen aan de ruwe vingerafdrukdata en dan hashen
blinchik
@Tyrian14 augustus 2019 16:53
En hopelijk brengt dit het debat over de vingerafdrukken op identiteitskaarten in Belgie terug op gang.
dr.lowtune
@Tyrian14 augustus 2019 14:58
* dr.lowtune trekt de bandschuurmachine uit de schuur.......oh wacht, je bedoelde vast om een andere vinger te gebruiken.... ;)
number3
14 augustus 2019 13:26
Er zijn werkelijk geen grenzen aan de domheid van bedrijven. In de drang on geld te verdienen worden diensten geboden, maar security by design, om maar te zwijgen van privacy by design. Niks van data alles, lekker online en centraal beschikbaar maken.

Ik zeg eerder publiceren dit soort meuk, niks responsible disclosure als er geen responsible design is.

We zijn veel te aardig als Community voor bedrijven.
Atheistus
@number314 augustus 2019 13:32
We zijn veel te aardig als Community voor bedrijven.
Want als we onaardig zijn dan gaat het wel beter?
Volgens mij hebben we gewoon Europese wetgeving voor dit soort misstanden.
The Zep Man
@Atheistus14 augustus 2019 13:35
Volgens mij hebben we gewoon Europese wetgeving voor dit soort misstanden.
Wij hebben lokale wetgeving die gebaseerd is op Europese richtlijnen. Subtiel maar belangrijk verschil. Een land kan de GDPR 1-op-1 implementeren, maar zou ook iets strengers kunnen doen.

Suprema HQ zit in Zuid-Korea, maar moet zich natuurlijk houden aan de regels die in EU landen gelden als ze zich daarop richten. Het enige probleem is hierin hoe je het gaat straffen. Economisch? Kosten-batenanalyse. Niemand die daar 's nachts over wakker blijft liggen. Strafrechtelijk, op de persoon? Hoe ga je dat doen bij een Zuid-Koreaans bedrijf?
Atheistus
@The Zep Man14 augustus 2019 14:11
Volgens hun website houden ze zich gewoon aan de GDPR en hebben ze Europese vestigingen. Dus hoef je niet naar Zuid-Korea.

En het verschil tussen GDPR en AVG is in dit verband totaal onbelangrijk voor het verhaal, daarom schreef ik voor het gemak Europese wetgeving. Maar als jij dat graag wil verbeteren moet je dat zeker niet laten.
The Zep Man
@Atheistus14 augustus 2019 14:16
Volgens hun website houden ze zich gewoon aan de GDPR en hebben ze Europese vestigingen. Dus hoef je niet naar Zuid-Korea.
Dat ligt eraan wie waarvoor verantwoordelijk is. Een marketing agent in de EU heeft hier bijvoorbeeld niets mee te maken.
En het verschil tussen GDPR en AVG is in dit verband totaal onbelangrijk voor het verhaal, daarom schreef ik voor het gemak Europese wetgeving. Maar als jij dat graag wil verbeteren moet je dat zeker niet laten.
Dat heb ik ook niet gedaan, waardoor het nutteloos is om het nog eens achteraf te noemen. ;)
alt-92
@The Zep Man14 augustus 2019 16:29
[...]
Dat ligt eraan wie waarvoor verantwoordelijk is. Een marketing agent in de EU heeft hier bijvoorbeeld niets mee te maken.
HAH!
Hebben we toch nog een voordeel aan het Belastingparadijs NL.

Dan heb je namelijk een legal entity hier nodig, die je aansprakelijk kan stellen.
Alex3
@The Zep Man14 augustus 2019 17:53
Desnoods een internationaal opsporingsbericht.
Zynth
@Atheistus14 augustus 2019 13:41
Zonder persoonlijke celstraffen zijn maatregelen zinloos.
Het is en blijft dan een ingecalculeerd risico.
Atheistus
@Zynth14 augustus 2019 14:03
Dat is volkomen onbewezen kletskoek. Wat wel bewezen is, is dat celstraffen maar zeer matig werken.
Een 'ingecalculeerd risico' is het niet omdat er boete ter hoogte van een percentage van de wereldwijde omzet opgelegd kan worden. Dat kun je nauwelijks incalculeren.

Maar allemaal los daarvan, het ging mij om de opmerking dat we 'veel te aardig zijn' als community en dat leek mij nogal onzinnig.
RJG-223
@Atheistus14 augustus 2019 17:33
Dat is volkomen onbewezen kletskoek.
Ik weet niet of het bewezen is of niet, maar als jij claimt dat het het kletskoek is (dwz: niet waar), dan zul jij dát moeten bewijzen. Iets wat niet bewezen is kan nog wel waar zijn !
Wat wel bewezen is, is dat celstraffen maar zeer matig werken
Voor wie ? Voor winkeldieven en dat soort kruimelwerk, of voor goedbetaalde managers ? Ik denk dat als verantwoordelijke managers, die meestal nette oppassende burgers zijn, ineens een persoonlijke celstraf boven het hoofd hangt, en als ze horen dat collega's van andere bedrijven die ook gekregen hebben, ze wél zorgvuldiger zullen zijn. Weinig mensen zullen zin hebben om voor hun werkgever een persoonlijke celstraf te riskeren terwijl de bespaarde kosten als winsten verdwijnen in de zakken van de aandeelhouders.
Atheistus
@RJG-22315 augustus 2019 00:12
Iets wat niet bewezen is kan nog wel waar zijn !
Wat heb jij gerookt?
Maar goed, er is nogal veel onderzoek gedaan naar celstraffen en zo (klein voorbeeld). Kijk anders even naar de VS hoe "goed" dat werkt.
number3
@Atheistus14 augustus 2019 14:51
Jippie, wetgeving... en wat lost dat op in dit geval dan?
Atheistus
@number315 augustus 2019 00:16
Stel je nu de rechtsstaat ter discussie? Misschien toch nog even doorleren om te zorgen dat je dit jaar wél over gaat.
number3
@Atheistus18 augustus 2019 11:46
Sneue reactie.... Je doet net of het recht automatisch ervoor zorgt dat er ook straffen worden uitgedeeld. Met de community bedoel ik inderdaad de ITers die wel begrijpen wat hier gebeurd. Het feit dat wij dit soort bedrijven nog steeds acceptabel vinden blijft mij verbazen.

En het rechtssysteem is mooi hoor, echter dat laat niks op als het gay om buitenlandse bedrijven. Of online domheid van bedrijven.
Atheistus
@number319 augustus 2019 11:22
Je maakt het niet beter met zo'n antwoord.
Een rechtssysteem deelt nooit automatisch straffen uit, het is altijd een afweging van alle belangen, rechten en eventueel vergelding. Je vraag viel dus in de categorie domme vragen (of opmerkingen), vandaar mijn 'sneue reactie'. Je suggereerde eigenlijk totaal geen vertrouwen te hebben in de rechtsstaat en dan heb je hier dus niets te zoeken.

En voor wat betreft de IT-community, daar geldt helemaal niet voor dat ze 'te aardig' zijn. Sterker nog, dit soort zaken worden bijvoorbeeld hier bij Tweakers als zeer onacceptabel ervaren.
SuperDre
@number314 augustus 2019 13:46
Ik zeg eerder publiceren dit soort meuk
En zo dus de privacy van al die mensen die er niets aan kunnen doen schaden? Nu is de database waarschijnlijk niet misbruikt, maar ga je het meteen vrijgeven dan is het 100% zeker dat deze misbruikt wordt.
number3
@SuperDre14 augustus 2019 14:51
Serieus, denk je werkelijk dat criminelen niet al jaren dit soort databases vinden en gebruiken. Tuurlijk is de data al lang weggelekt, dat het netjes gemeld is en de database “niet” langer eenvoudig bereikbaar is, betekend niet dat er geen datalek is geweest.
SuperDre
@number314 augustus 2019 22:46
Dat is een aanname die jij niet kunt bewijzen...
number3
@SuperDre14 augustus 2019 23:26
Loopy, net so min als je jouw naïeve aanname kan staven. Ik zou maar uitgaan van het worst care scenario i.p.v. optimistische ‘het zal wel niet fout zijn gegaan’ denkgoed.
CivLord
@number315 augustus 2019 09:51
De kans dat een online crimineel deze database al eerder heeft ontdekt en de data heft gekopieerd en/ of misbruikt is inderdaad groot. Maar wanneer je iedereen er op wijst dat de database open staat, duikt elke online crimineel er meteen op en is de potentiële schade vele malen groter.
Unsocial Pixel
@number314 augustus 2019 13:54
Waarbij dus de klanten mogelijk de sjaak zijn,, nee dan ga ik eerder voor een disclosure time, goed documenteren waar het allemaal fout ging en achteraf nadat het gefixed is ze volledig afbranden in een rechtzaal waar een rechter kan oordelen of mijn flame gestaaft is.
JW1
@number314 augustus 2019 14:35
Al gaat een bedrijf onverantwoord met mijn data om en het wordt ontdekt, dan is het nog niet de bedoeling dat de ontdekker hiervan ook nog eens onverantwoord gaat doen door dit zo spoedig mogelijk in de openbaarheid te brengen, zodat Jan en alleman bij de 'open' data kan. Misschien vind je dat er een soort vergelding moet zijn voor het foute handelen, maar het gaat om beginsel nog steeds om de data van mensen die dan nog meer gevaar lopen.
Ik zal niet ontkennen dat het wel een enorme stomme actie is als bedrijf dat voor toegang en veiligheid zorgt om zo af te gaan, hoe geloofwaardig ben je dan nog?
Anoniem: 310408
@number314 augustus 2019 15:30
We zijn veel te aardig als Community voor bedrijven.
De tweaker community? Wat heeft die hierover te zeggen? En hoe zou onaardig doen er dan uitzien? Nog meer schelden.
The Zep Man
14 augustus 2019 13:24
Het lek zit in Biostar-2, een 'webgebaseerd, open en geïntegreerd beveiligingsplatform' waarmee gebruikers zich online kunnen identificeren bij diensten van derde partijen.
Dat heet een understatement.

Het feit dat vingerafdrukken en wachtwoorden 'ruw' bewaard worden zet meteen vraagtekens bij de beveiliging van dit 'beveiligings'platform. Ook heb je nu kans dat werknemers van organisaties hun eigen werkgevers kunnen aanklagen voor het laten uitlekken van hun gegevens. Het is dan aan de werkgever om geleden schade eventueel te verhalen bij Suprema. Ik zou dan wel snel zijn, want als anderen dat ook doen (en er succesvol in zijn) dan is er een kans dat Suprema straks niet meer bestaat.

[Reactie gewijzigd door The Zep Man op 14 augustus 2019 13:31]

r_bleumer
@The Zep Man14 augustus 2019 14:28
Dat wordt dan nieuwe tokens door Biostar laten verschaffen. Iedereen een 6e vinger.

Dit geeft ook precies aan waarom biometrische authenticatie zo waardeloos is. Je kunt geen nieuwe tokens uitgeven.
gevoelig
@r_bleumer14 augustus 2019 16:05
En daarom moet je je vingerafdruk nooit en te nimmer delen. Gewoon niet doen.
Joepla
@gevoelig14 augustus 2019 16:28
Dat vind ik ook. Alleen kan ik dan geen paspoort aanvragen :(
Whaa
@Joepla14 augustus 2019 16:42
Dat is de reden dat ik nu ID kaart heb i.p.v. paspoort
Seal64
@Whaa14 augustus 2019 17:56
Ik ook, maar dat is ook alweer teruggedraaid. Dus als je ID verloopt wordt je ook acuut als verdachte aangemerkt.
gevoelig
@Seal6414 augustus 2019 18:43
Hoezo? Je hoeft toch nog steeds geen vingerafdruk af te geven? Voor mij de reden dat ik een id heb.
Seal64
@gevoelig15 augustus 2019 07:33
Het is een tijdje verplicht geweest, daarna afgeschaft voor ID-kaarten (die zijn niet langer geclassificeerd als reisdocument, waardoor het niet meer hoefde), en inmiddels weer terug ingevoerd. Het is nog niet daadwerkelijk van kracht, maar da's slechts een kwestie van tijd:
nieuws: Europees Parlement stemt in met verplichting vingerafdrukken op id-ka...
gevoelig
@Seal6415 augustus 2019 13:48
Dank. Dat is nieuw voor mij. Zal snel voor de tweede keer vervroegd een nieuwe halen.
Boender
@r_bleumer14 augustus 2019 14:54
Je algoritme aanpassen zodat bij een zelfde vinger een andere hash uitkomt.
The Zep Man
@Boender14 augustus 2019 15:14
Wat nutteloos is als men de gehele vingerafdruk heeft waarop hashes gebaseerd worden. De aanvaller genereert dan simpelweg de nieuwe gevraagde hash.
Boender
@The Zep Man14 augustus 2019 17:27
Ik ging ervan uit dat er geen "foto's" van vingerafdrukken waren opgeslagen.
The Zep Man
@Boender15 augustus 2019 05:31
Foute aanname. Zie de eerdere post van mij.

Bovendien moet ooit ergens een ruwe vingerafdruk verwerkt worden, wat meteen een gevoelig punt is om vingerafdrukken te stelen. Denk aan het skimmen van de magneetstrip van bankpassen.
number3
@r_bleumer14 augustus 2019 14:55
Exact. Biometrische data is alleen bruikbaar om een persoon te identificeren, maar niet als tweede factor.
Deakers
@r_bleumer14 augustus 2019 17:14
komt het er dan ook op neer dat als je vingerafdrukken publiek zijn, deze niet meer als identificatie gebruikt kunnen worden ?
r_bleumer
@Deakers14 augustus 2019 18:39
Niet met 100% zekerheid.
gevoelig
@Deakers14 augustus 2019 18:41
Het zou een argument kunnen zijn in een rechtzaak. Als crimineel zou je er in sommige gevallen bij gebaat kunnen zijn, lijkt me.
vrow
@r_bleumer15 augustus 2019 00:24
Dat wordt dan nieuwe tokens door Biostar laten verschaffen. Iedereen een 6e vinger.
Ik heb al sinds jaar en dag een 6e vinger! Sterker nog, ik heb er zelfs 10!
r_bleumer
@vrow15 augustus 2019 07:45
Aan een hand? Da's bijzonder.
vrow
@r_bleumer15 augustus 2019 12:49
Niemand zegt iets over het aantal handen. Jij wilde mensen graag een zesde vinger geven en ik heb al zes vingers :-)
DJSnels
@r_bleumer15 augustus 2019 12:50
https://reddit.app.link/EgKej6VEaZ
michielRB
14 augustus 2019 13:45
Precies de reden waarom ik nog _nooit_ gebruik heb gemaakt van vingerafdruk authenticatie.
The Zep Man
@michielRB14 augustus 2019 14:21
Een veelgemaakte denkfout is dan ook dat vingerafdrukken authenticatie betreffen. Dat is fout. Vingerafdrukken kan je gebruiken voor identificatie. Zeg maar het invullen van de gebruikersnaam in plaats van het wachtwoord. Voor authenticatie zijn ze echter slecht omdat ze te makkelijk nagemaakt kunnen worden en er een hoge foutmarge aanwezig is.

Een combinatie van een vingerafdruk (jezelf identificeren) en iets dat je weet (PIN code) kan gebruikt worden om bijvoorbeeld een smartcard met PIN te vervangen. Je hebt in die situatie echter een enkele authenticatiefactor (de PIN), terwijl je met een smartcard er twee hebt (naast de PIN ook de smartcard zelf).

[Reactie gewijzigd door The Zep Man op 14 augustus 2019 14:22]

jhaan1979
14 augustus 2019 13:26
Zal vast wel een of andere prutser zijn geweest met een webpagina die vanuit javascript data uit de elasticsearch database haalde, en bij het publiek stellen van de webpagina erachter kwam dat er geen data doorkwam, dus dan ook maar de ES API publiek maken.

Ook wel slecht dat de authenticatie niet geconfigged was, ook voor een database die enkel intern benaderbaar zou zijn.
Sammekl
14 augustus 2019 13:54
PayPal heeft sinds kort ook vingerafdruk authenticatie via Chrome op Android. Ik ga er vanuit dat dit niet van hetzelfde systeem gebruik maakt, aangezien het de native android API lijkt te gebruiken voor de vingerafdrukken. Toch?
seapip
@Sammekl14 augustus 2019 16:45
Dit maakt gebruik van de webauthn standaard die door de meeste browsers onderhand wordt ondersteund. Hierbij wordt je vingerafdruk of een hash van je vingerafdruk niet opgeslagen op de site maar wordt er gebruik gemaakt van public/private key authenticatie die is beveiligd met de native OS beveiliging implementatie (vingerafdruk, pincode etc).
g4wx3
14 augustus 2019 13:59
Ik heb me nooit verdiept hoe vingerafdrukken worden bewaard. Ik vermoed dat men het contract tussen de lijntjes omzet naar een frequentie, waar me dan een fourrier analyse op toepast, en zo de frequenties kan matchen.
Ik vermoed net hetzelfde voor muziek, adhv een fourrier analyse de "grondfrequenties" achterhalen om te kunnen vergelijken

[Reactie gewijzigd door g4wx3 op 14 augustus 2019 14:00]

TheSiemNL
14 augustus 2019 14:16
Dat is wel een heel open beveiligingssysteem. ;)

Valt toch wel wat voor gesloten beveiligingssoftware te stellen.
CivLord
@TheSiemNL15 augustus 2019 09:59
In ieder geval voor een gesloten beveiligingsdatabase.
roelboel
14 augustus 2019 14:26
Geen probleem toch, als je niets te verbergen hebt?
</sarcasme>
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee