Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers vinden openbare database met miljoenen vingerafdrukken op internet

Een database met biometrische gegevens als vingerafdrukken en gezichtsscans van ruim een miljoen mensen was openbaar via internet te benaderen. De gegevens werden verzameld als authenticatiemethode voor bedrijfspanden. Inmiddels is de database offline.

Het lek zit in Biostar-2, een 'webgebaseerd, open en geïntegreerd beveiligingsplatform' waarmee gebruikers zich online kunnen identificeren bij diensten van derde partijen. Het gaat om een gecentraliseerde dienst waarmee naast gebruikersnamen en wachtwoorden ook biometrische gegevens kunnen worden opgeslagen. Die worden door bedrijven gebruikt voor bijvoorbeeld toegang tot panden of faciliteiten. Het platform wordt gemaakt door het bedrijf Suprema, en wordt wereldwijd door 5700 bedrijven in 83 landen gebruikt. Daar zitten ook onder andere de Belgische tak van uitzendbureau Adecco bij. Of er Nederlandse bedrijven zijn die van de Biostar-2-database gebruik maken is niet bekend. De onderzoekers zeggen dat zij in hun onderzoek gebruik maakten van sampling en daarom niet specifiek kunnen zeggen om hoeveel specifieke gevallen het gaat.

De database werd ontdekt door een team van Israëlische beveiligingsonderzoekers die samenwerkten met VPNmentor, een dienst voor het reviewen van vpn's. Zij deden port scans om openstaande systemen te detecteren en kwamen zo de database tegen. Het gaat om een Elasticsearch-database die normaal niet te benaderen is via url's, maar dat in dit geval toch was. De onderzoekers wisten de url's van de database zo te manipuleren dat zij er informatie uit konden achterhalen.

In die database stonden meer dan 27,8 miljoen records, met een totale omvang van 23 gigabyte. Die gegevens bestonden naast vingerafdrukken en gezichtsscans ook uit gebruikersnamen en onversleutelde wachtwoorden, logs van toegang tot gebouwen, beveiligingsniveau's van medewerkers en persoonlijke informatie van werknemers. De onderzoekers merken ook op dat de vingerafdrukken in hun geheel werden opgeslagen, in plaats van alleen een hash daarvan. De onderzoekers wisten de informatie niet alleen in te zien, maar ook nieuwe gebruikers toe te voegen en data te wijzigen. Zo konden zij hun eigen vingerafdruk toevoegen aan specifieke gebruikersaccounts.

De onderzoekers ontdekten het lek eerder deze maand en lichtten het bedrijf erachter in. Die heeft nog geen officiële reactie gegeven, maar de database is inmiddels niet meer online te vinden. Daarop besloten de onderzoekers hun bevindingen alsnog te publiceren. Hoe lang de data openbaar te vinden is geweest en of daar misbruik van is gemaakt is niet bekend.

Door Tijs Hofmans

Redacteur privacy & security

14-08-2019 • 13:20

150 Linkedin

Reacties (150)

Wijzig sortering
De Belgische Adecco breekt dus de AVG.
Volgens de AVG is het verwerken van biometrische gegevens om iemand te identificeren in beginsel verboden.

[Reactie gewijzigd door batjes op 14 augustus 2019 13:25]

In benginsel wellicht wel. Maar je kan als bedrijf een zwaarwegend belang hebben waardoor het alsnog toegestaan is. Denk bijvoorbeeld aan een voedselverwerkingsbedrijf waarbij je niet met pasjes mag rondlopen omdat die in de lijn kunnen vallen. Verder als de beveiliging dermate belangrijk is dat er (bovenop een pas / sleutel) biometrische gegevens nodig zijn dan mag dit ook.
Tsja, zo interpreteren de meeste bedrijven het inderdaad, maar ook in het door jou genoemde geval mag het nog steeds niet (van de AVG)!

Je moet het zo lezen:
Alleen als het met alle andere normale (lees: niet AVG gerelateerde) middelen en manieren onmogelijk blijkt te zijn kan (met nadruk kan, nog steeds niet altijd dus) er sprake zijn van "zwaarwegend belang".

Je snapt zelf ook wel dat er voor je "vallende pasjes in voedingsmiddelenindustrie" probleem vreselijk veel andere oplossingen te bedenken zijn, daarom kan er van zwaarwegend belang onmogelijk sprake zijn.

Dat al die andere oplossingen misschien (iets) duurder zijn is de werkelijke reden dat bedrijven bij iedere AVG kwestie de zin "Ja eh, maar eh, oh wacht, dit is zwaarwegend belang!" ten gehore brengen...

Lang leve geld boven alles! ;)
Er moet inderdaad een goede reden voor zijn. Om in en uit te klokken is dit wel verboden. Als de toegang tot het bedrijf of onderdelen hiervan gerealiseerd kan worden met pasjes of druppels, is het ook verboden.

Vallende pasjes lossen we waar ik nu werk op met van die uitrolbare touwtjes aan een clipje.

Waar ik ~2 jaar geleden werkte werd het ook toegepast om in en uit te klokken, dit hebben ze bij de invoer van de AVG snel omgezet naar druppels (die daarvoor wel optioneel waren).

Je moet echt een goede reden hebben wil je biometrische gegevens gebruiken van je personeel. Gezien de hoeveelheid bedrijven en toepassing hiervan, lijkt me het in de meeste gevallen niet meer dan gemakzucht.
Elke grote bouwplaats werkt tegenwoordig met vingerafdruk-entree waarmee de bouwlieden en onderaannemers zich moeten aanmelden. Dus zo spannend zal het niet zijn.

[Reactie gewijzigd door Dennisdn op 14 augustus 2019 15:58]

Dan zijn ze kennelijk niet op de hoogte van de regels.
Nee en het UWV ook niet, want als je weigert,kom je de bouwplaats niet op en is het werkweigering. Korten op je uitkering dus. Je krijgt gewoon straf!
Dat is knap. Dan hebben ze dus vingerafdrukscanners die door eelt of afgesleten vingerafdrukken heen kunnen scannen.
In mijn omgeving hebben mensen die in de bouw werken of ander zwaar werk met hun handen verrichten juist grote moeite met vingerafdrukscanners in hun telefoon of bij de gemeente voor een paspoort.
Een vingerafdruk gebruiken voor toegang tot een bouwplaats voor de bouwvakkers zelf lijkt mij vragen om problemen.
Alle grote bouwers doen het, dan zal het vast wel werken.

Hier bijvoorbeeld een verklaring van Dura Vermeer hoe ze met de privacy omgaan:
https://www.duravermeer.n...Bouwplaats%20Check-in.pdf

En advertentie van één van de leveranciers:
https://acties.cobouw.nl/...3184-605509391.1565863184

[Reactie gewijzigd door Dennisdn op 15 augustus 2019 12:02]

Ik werk in een supermarkt waar iedereen in- en uitklokt met vingerscan. Er wordt wel alleen een hash opgeslagen van de vingerafdruk. Is dit dus niet toegestaan?
Nee, in principe is dit niet toegestaan. Er zijn immers voldoende alternatieven voor dit doeleinde (pasjes, tags, QR scanner) en daarmee is het verwerken van biometrische gegevens niet toegestaan, er is geen noodzaak.
https://autoriteitpersoon...n/identificatie/biometrie
Bron ter onderbouwing van je argument.

Uw werkgever moet daarom vooraf een afweging maken of identificatie met biometrische gegevens noodzakelijk is. Dat betekent dat uw werkgever moet afwegen of gebouwen en informatiesystemen zó goed beveiligd moeten zijn dat dit niet anders kan dan door (alleen) biometrie te gebruiken.

Het lijkt me niet dat er voldoende noodzaak bestaat bij een supermarkt voor het gebruik van biometrische beveiliging.

Daar komt nog bovenop:
Let op: heeft uw werkgever geen noodzaak? Maar vraagt hij u in plaats daarvan om toestemming om uw vingerafdruk te verwerken? Dat mag niet. U bent namelijk afhankelijk van uw werkgever, dus niet in een positie om te kunnen weigeren.
Het volgende staat er ook. Als je 'sportschool' zou vervangen voor 'supermarkt' dan lijkt het te mogen, als ze maar een alternatief hebben zoals pasjes. Dit klinkt weer verre van 'verboden'

----

Uw sportschool kan u vragen om een vingerafdruk te geven. Bijvoorbeeld voor toegangscontrole. Maar u bent niet verplicht om uw vingerafdruk af te staan.

Toestemming
Uw sportschool heeft geen noodzaak om uw vingerafdruk te verwerken. Uw sportschool mag uw vingerafdruk daarom alleen gebruiken als u hiervoor toestemming geeft.

De sportschool moet u daarbij de mogelijkheid bieden om uzelf op een andere manier te identificeren. Bijvoorbeeld door uw identiteitsbewijs te laten zien of een toegangspas te gebruiken.

[Reactie gewijzigd door Knorretje- op 15 augustus 2019 04:31]

Ja, dat zal dan precies het verschil zijn tussen een bedrijf waar je klant bent, of een bedrijf waar je werkt, zoals @maxkoudijs aangeeft:
Let op: heeft uw werkgever geen noodzaak? Maar vraagt hij u in plaats daarvan om toestemming om uw vingerafdruk te verwerken? Dat mag niet. U bent namelijk afhankelijk van uw werkgever, dus niet in een positie om te kunnen weigeren.
Dan zou ik toch je werkgever daarover aanspreken, of het melden bij de AP
Vallende pasjes lossen we waar ik nu werk op met van die uitrolbare touwtjes aan een clipje.
Maar dan werken jullie ook niet met productielijnen etc, want dat touwtje kan dus iemand heel snel ineens een lijn intrekken met ernstige gevolgen.
Voor zover ik ze ken is zo'n touwtje het zwakste punt. Als je daar een mens aan mee gaat trekken, dan breekt het touwtje gewoon.
Nou, degene die ik had was gewoon een soort van staaldraad, kon je gewoon met je hele gewicht aan gaan hangen.. En clipjes willen ook nog wel eens blijven hangen.. Het zijn niet allemaal van die aliexpres dingetjes ;)
Dat is dan wel heel bijzonder. Ik heb ze nog nooit gezien met meer dan een stukje garen wat ik ook van m'n moeder had kunnen krijgen.
Bedrijf beknibbelt dus op de kosten op het gebied van veiligheid x.x En men kiest dus voor biometrisch identificeren uit gemakzucht. Die we hier hebben is van plastic, kun je met je eigen handen door midden trekken. Zou dus niet een persoon een machine in moeten kunnen trekken.

Verder heb ik ook in productiehallen en magazijnen gewerkt, een druppel werkt ook prima.
Een druppel is veel gevallen zelfs veiliger.

Een vingerafdruk kun je relatief makkelijk kopiëren, terwijl een pasje of druppel vervangen moet worden. Desbetreffende persoon komt er simpelweg niet ik zonder een nieuwe aan te vragen en dan kan de oude geblokkeerd worden.
Druppel? Wat wordt hiermee bedoeld?
Een tag die je langs een scanner haalt.
Een druppel is een RFID chip die vaak bij bedrijven wordt gebruikt om toegang te krijgen tot een gebouw / afdeling. Maar het kan ook gebruikt worden om in te klokken, of om bijvoorbeeld op een netwerkprinter je print opdracht uit te voeren.

Zie ook
https://www.slimmedeuroplossing.nl/deur-openen-tag/
idd clipje laat lost met de persoon is er niks aan de hand, maar dat de pasje een lijn van een miljoen beschadigt....
Biometrische beveiliging is NIET veiliger! Vingerafdrukken en dergelijke worden in de lezer opgeslagen. Het volstaat dus de lezer van de muur plukken en je hebt de gegevens van alle personen die toegang hebben.

Kaart + pincode is in dit geval veiliger omdat deze gegevens door de lezer doorgestuurd worden naar een centraal systeem en daar opgeslagen en verwerkt worden. Het centraal systeem geeft of weigert dan de toegang.

Daarnaast kan je een kaart die verloren gaat blokkeren of een pincode wijzigen.

Extra leuke opties zijn bij "holdup" een stil alarm triggeren door een alternatieve pincode in te geven.
Biometrische beveiliging is NIET veiliger! Vingerafdrukken en dergelijke worden in de lezer opgeslagen. Het volstaat dus de lezer van de muur plukken en je hebt de gegevens van alle personen die toegang hebben.
Hoe zie je dat voor je? Losse units waar een systeembeheerder langs moet bij iedere update van nieuwe of vertrokken werknemers?
Kaart + pincode is in dit geval veiliger omdat deze gegevens door de lezer doorgestuurd worden naar een centraal systeem en daar opgeslagen en verwerkt worden. Het centraal systeem geeft of weigert dan de toegang.
Biometrische beveiliging werkt volgens hetzelfde principe. De lezer bij een toegangsdeur scant je vingerafdruk, berekent daar een hash uit en stuurt die naar een centraal systeem. Dat systeem vergelijkt die hash met de opgeslagen hashes en stuurt een signaal terug dat er wel of niet toegang verleend moet worden.
Wanneer het systeem goed is opgezet wordt er centraal ook alleen een hash van een vingerafdruk opgeslagen en niet zoals in de database waar dit artikel over gaat, een scan van de vingerafdruk zelf.
Vroegah..... bij mijn vader op zn werk(e-centrale) hadden ze een portier. De beste man heette Buitenhek ( ja echt, je verzint het niet)
Kende iedereen en er kwam geen vreemde binnen zonder aanmelding.

Maar ja... wegbezuinigd....
Buitenhek wist ook van eventuele medewerkers af die de dag ervoor ontslagen waren wegens wangedrag en toch naar binnen probeerde te komen ? Dat is dan wel een topsysteem ja ;)
Eerlijk gezegd denk ik dat wel, soort centrale roddel plek.
Natuurlijk kan dat niet meer, maar om nou biometrie in te zetten op een bouwplaats gaat wat ver.
KISS geldt ook voor dit soort zaken, gewoon een pasje en pincode is in normale omgevingen behoorlijk veilig en pragmatisch
Buitenhek wist het eerder dan de medewerker zelf :)
Ik denk dat het verloop in personeel en de inzet van tijdelijke (uitzend)krachten iets groter geworden is tegenwoordig. Dat zal voor een portier best lastig zijn om bij te houden.
O ja, is het verboden om biometrische data te verwerken. Waar in de AVG staat dat?
https://autoriteitpersoon...n/identificatie/biometrie

Je moet als bedrijf echt een hele goede reden hebben om dit toe te passen. Als er een alternatief mogelijk is voor identificatie is het verboden biometrie toe te passen.
Dank je voor de link. Nu maar hopen dat de overheid al die partijen met camera’s langs de straat gaat aanpakken. En al die techbedrijven met hun gezichtsherkenning software in foto apps en vingerafdruk op smartphones. Allemaal biometrische data verwerking. En wie garandeert mij dat die data niet toch centraal verwerkt wordt.

De AP heeft een mooie wet, nu de handhaving op schaal.
Tenzij goedkeuring gegeven is door de gebruikers en een verwerkersovereenkomst gesloten is met Biostar-2.
Goedkeuring van gebruikers, de werkgever zit in een machtspositie, gezien het ook toegepast wordt bij de Belgische Adecco, dat is echt geen hoogopgeleiden uitzendbureau met kritieke functies. Maar meer voor de onderkant van de samenleving. Niet goedkeuren = geen baan.

Het is dan gewoon verboden.
De AP heeft een tijdje geleden bij een Nederlands bedrijf geoordeeld dat de toestemming die werknemers hadden gegeven voor het verzamelen van bijzondere persoonsgegevens niet geldig was.
Voorwaarde is dat de toestemming vrijwillig wordt gegeven, en volgens de AP is die vrijwilligheid er niet in een werknemer-werkgever situatie.
Hier zou meer ruchtbaarheid aan gegeven mogen worden.
Interessant... heb je toevallig ook een bron ?

Edit:
Zelf al gevonden (bron AP):
Toestemming geldt niet

Let op: heeft uw werkgever geen noodzaak? Maar vraagt hij u in plaats daarvan om toestemming om uw vingerafdruk te verwerken? Dat mag niet. U bent namelijk afhankelijk van uw werkgever, dus niet in een positie om te kunnen weigeren.

[Reactie gewijzigd door T-men op 14 augustus 2019 14:55]

Voor de compleetheid:

het AP baseert zich hierbij op overweging #43 van de AVG:
Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend.
Dit geldt bij elke wanverhouding; met name bij overheidsinstanties, maar dus ook bij werkgever. Of bij zaken zoals patientendossiers. Of misschien voor financiële dienstverleners waar er zwaarwegende financiële belangen zijn en ineens bepaalde service-voorwaarden veranderen die toestemming tot verwerking van bepaalde gegevens vereisen om een financieel product of de dienstverlening daar rondom in stand te houden.


De overwegingen zijn bij de AVG de moeite waard om door te nemen. Staat wel meer interessant spul in.

Wist je bijv. dat het de intentie is dat het verboden is voor websites om bij herhaling een gebruiker om toestemming te blijven vragen? Overweging #32 stelt namelijk dat:
Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.
Ga je nergens als zodanig geformuleerd in de wetstekst terug vinden, maar dient weldegelijk in acht genomen te worden in de context van zaken die wel expliciet in de wetstekst omschreven staan, betr. de eisen die aan toestemming gesteld worden.

[Reactie gewijzigd door R4gnax op 19 augustus 2019 21:04]

Let wel, het zal hier gaan om de directe medewerkers van Adecco, niet om de uitzendkrachten.
En het is dus NIET gewoon verboden, er zitten dus voorwaarden aan.
Ook in dat geval zijn er heel veel andere oplossingen, dus WEL gewoon verboden (als er tenminste genoeg werknemers met een gezond, en dus ook kritisch denkend, stel hersenen rondlopen en dus zullen weigeren om voor dit soort onzin vingerafdrukken te gebruiken).

Domheid/afhankelijkheid van werknemers en/of dwang/gemakzucht van werkgevers heeft in theorie natuurlijk niets met de AVG te maken, maar in de praktijk des te meer! Helaas...
Dus jij gebruikt ook geen vingerafdruk op je telefoon? Genoeg werknemers die ook liever via vingerafdruk zullen willen doen, want dan hoeven ze niet de hele tijd zo'n irritant ding mee te sjouwen die je ook weer eens kwijt kunt raken of vergeten..
De vingerafdruk die je voor je telefoon gebruikt, daarvan wordt de hash gebruikt voor ontgrendelen. Deze hash is niet terug te herleiden naar een vingerafdruk en deze hash verlaat nooit je telefoon.
Daarnaast kun je het je telefoon wel gewoon weigeren, hij stelt het je niet verplicht. De toestemming die je dus geeft door dit te gebruiken, is dus geldig.
Als er ernstige redenen voor zijn zoals bijvoorbeeld beveiliging van gevoelige zones mag het wel.
Of dit nu de beste methode is in dit geval betwijfel ik ten zeerste.

https://www.gegevensbesch...e/personeelsidentificatie
...getroffen gebruikers wordt geadviseerd om hun vingerafdruk te veranderen...

(Dit is de reden om zeer terughoudend te zijn met het verstrekken van biometrische gegevens aan derden.)
Ondanks de ernst van de zaak moest ik hier toch om lachen.....
Ja ik eerst ook, tot ik vergeten was dat ik bij mijn iphone, dus 4 van mijn vingers/duimen had geregistreerd, Oke nu blijft het op de telefoon in dit geval, maar ja, men is mooi de sjaak als ze alle vingers hebben. dus om zo maar weer te veranderen is wel een optie maar ik zou dan heel selectief zijn, waar ik ze dan nog geef.

En ik had dus het gemak van meerdere vingers (om dat je de telefoon ook wel eens met je andere hand pakt) gekozen boven de veiligheid, van het niet alle paswoorden/verificatie het zelfde te laten zijn voor meerdere dingen/telefoons/deuren
Die worden lokaal opgeslagen op je telefoon...
Nee, alleen een hash van je vingerafdruk is opgeslagen, niet de afdruk. De afdruk opslaan is absoluut niet correct en zou nooit mogen gebeuren. Dit bedrijf heeft hier fout op fout gestapeld.
en wordt er geen automatische backup van je telefoon naar de cloud uitgevoerd?
Dat gedeelte blijft in de Secure enclave van de telefoon en is ook niet terug te herleiden naar een echte vingerafdruk. Je moet daarom ook bij elk nieuw apparaat je vinger opnieuw toevoegen.
Met een vingerafdruk scanner achter het scherm is het afwachten dat dit misbruikt zal worden.
Gegevens opzuigen, van iedere vinger die het scherm aan raakt.
"We hebben voor de zekerheid de vingerafdrukken van klanten gereset" :)
Uiteraard blijft het belangrijk om voor elke dienst een aparte vingerafdruk te gebruiken.
Had ik voor Tweakers nou mijn linker- of rechterringvinger gebruikt?
Ik gebruik mijn linker duim altijd voor belangrijke zaken. De rechter gebruik ik op de wat meer shady websites.
Denkt nu werkelijk niemand eraan om zijn tenen te gebruiken hiervoor?
Of je neus ;) Of was dit nou alleen bij katten uniek..

[Reactie gewijzigd door Christoxz op 14 augustus 2019 14:54]

Ik kan bevestigen dat je neus als vingerafdruk werkt (of werkte) op de Galaxy S7. Nu de Rijksoverheid nog overhalen. :P
Neus net geregistreerd. Dank voor de tip. Als ik ooit geboeid ben, kan ik nu toch unlocken. Nu nog leren tikken met mijn neus zodat ik 112 kan bellen
Of gebruik verplicht 4 vingerafdrukken in een bepaalde volgorde, 4 cijferige vingerafdrukcode.
Ik gebruik altijd mijn middelvinger bij dit soort beveiligingen
Je linker, rechter of in stereo :)
Bedankt voor de lachkik
Mensen met polydactylie +1!
Tenen worden ook geaccepteerd.

Slippers, pantoffels, klittebandsluitingen en klompen gaan weer populair worden en nu weet je waarom.
Dus je kan je vingerafdrukken resetten :o ? Dat is een gat in markt voor inbrekers en ander tuig. Daar zal de politie blij mee zijn.
aan de ene kant hoop ik dat dit sarcasme is, aan de andere kant ook weer niet :+
Het is geen gat in de markt, je fornuis "reset" wel even je vingerafdrukken. Pijnloos resetten zou een gat in de markt zijn.
Het opslaan van vingerafdrukken in zijn geheel is natuurlijk - laten we zeggen - beperkt handig

Maar ook het opslaan van alleen de hash lijkt me niet veilig genoeg. Zou je de hash niet per applicatie moeten versleutelen? Als je vingerafdrukhash bekend is zou een hacker in theorie daarmee overal in kunnen komen. Als die hash versleuteld is, moet de hacker ook nog de versleuteling zien te kraken.
Wellicht zou je daarvoor iets zoals salting kunnen toepassen
Precies, een salt toevoegen aan de ruwe vingerafdrukdata en dan hashen
En hopelijk brengt dit het debat over de vingerafdrukken op identiteitskaarten in Belgie terug op gang.
* dr.lowtune trekt de bandschuurmachine uit de schuur.......oh wacht, je bedoelde vast om een andere vinger te gebruiken.... ;)
Er zijn werkelijk geen grenzen aan de domheid van bedrijven. In de drang on geld te verdienen worden diensten geboden, maar security by design, om maar te zwijgen van privacy by design. Niks van data alles, lekker online en centraal beschikbaar maken.

Ik zeg eerder publiceren dit soort meuk, niks responsible disclosure als er geen responsible design is.

We zijn veel te aardig als Community voor bedrijven.
We zijn veel te aardig als Community voor bedrijven.
Want als we onaardig zijn dan gaat het wel beter?
Volgens mij hebben we gewoon Europese wetgeving voor dit soort misstanden.
Volgens mij hebben we gewoon Europese wetgeving voor dit soort misstanden.
Wij hebben lokale wetgeving die gebaseerd is op Europese richtlijnen. Subtiel maar belangrijk verschil. Een land kan de GDPR 1-op-1 implementeren, maar zou ook iets strengers kunnen doen.

Suprema HQ zit in Zuid-Korea, maar moet zich natuurlijk houden aan de regels die in EU landen gelden als ze zich daarop richten. Het enige probleem is hierin hoe je het gaat straffen. Economisch? Kosten-batenanalyse. Niemand die daar 's nachts over wakker blijft liggen. Strafrechtelijk, op de persoon? Hoe ga je dat doen bij een Zuid-Koreaans bedrijf?
Volgens hun website houden ze zich gewoon aan de GDPR en hebben ze Europese vestigingen. Dus hoef je niet naar Zuid-Korea.

En het verschil tussen GDPR en AVG is in dit verband totaal onbelangrijk voor het verhaal, daarom schreef ik voor het gemak Europese wetgeving. Maar als jij dat graag wil verbeteren moet je dat zeker niet laten.
Volgens hun website houden ze zich gewoon aan de GDPR en hebben ze Europese vestigingen. Dus hoef je niet naar Zuid-Korea.
Dat ligt eraan wie waarvoor verantwoordelijk is. Een marketing agent in de EU heeft hier bijvoorbeeld niets mee te maken.
En het verschil tussen GDPR en AVG is in dit verband totaal onbelangrijk voor het verhaal, daarom schreef ik voor het gemak Europese wetgeving. Maar als jij dat graag wil verbeteren moet je dat zeker niet laten.
Dat heb ik ook niet gedaan, waardoor het nutteloos is om het nog eens achteraf te noemen. ;)
[...]
Dat ligt eraan wie waarvoor verantwoordelijk is. Een marketing agent in de EU heeft hier bijvoorbeeld niets mee te maken.
HAH!
Hebben we toch nog een voordeel aan het Belastingparadijs NL.

Dan heb je namelijk een legal entity hier nodig, die je aansprakelijk kan stellen.
Desnoods een internationaal opsporingsbericht.
Zonder persoonlijke celstraffen zijn maatregelen zinloos.
Het is en blijft dan een ingecalculeerd risico.
Dat is volkomen onbewezen kletskoek. Wat wel bewezen is, is dat celstraffen maar zeer matig werken.
Een 'ingecalculeerd risico' is het niet omdat er boete ter hoogte van een percentage van de wereldwijde omzet opgelegd kan worden. Dat kun je nauwelijks incalculeren.

Maar allemaal los daarvan, het ging mij om de opmerking dat we 'veel te aardig zijn' als community en dat leek mij nogal onzinnig.
Dat is volkomen onbewezen kletskoek.
Ik weet niet of het bewezen is of niet, maar als jij claimt dat het het kletskoek is (dwz: niet waar), dan zul jij dát moeten bewijzen. Iets wat niet bewezen is kan nog wel waar zijn !
Wat wel bewezen is, is dat celstraffen maar zeer matig werken
Voor wie ? Voor winkeldieven en dat soort kruimelwerk, of voor goedbetaalde managers ? Ik denk dat als verantwoordelijke managers, die meestal nette oppassende burgers zijn, ineens een persoonlijke celstraf boven het hoofd hangt, en als ze horen dat collega's van andere bedrijven die ook gekregen hebben, ze wél zorgvuldiger zullen zijn. Weinig mensen zullen zin hebben om voor hun werkgever een persoonlijke celstraf te riskeren terwijl de bespaarde kosten als winsten verdwijnen in de zakken van de aandeelhouders.
Iets wat niet bewezen is kan nog wel waar zijn !
Wat heb jij gerookt?
Maar goed, er is nogal veel onderzoek gedaan naar celstraffen en zo (klein voorbeeld). Kijk anders even naar de VS hoe "goed" dat werkt.
Jippie, wetgeving... en wat lost dat op in dit geval dan?
Stel je nu de rechtsstaat ter discussie? Misschien toch nog even doorleren om te zorgen dat je dit jaar wél over gaat.
Sneue reactie.... Je doet net of het recht automatisch ervoor zorgt dat er ook straffen worden uitgedeeld. Met de community bedoel ik inderdaad de ITers die wel begrijpen wat hier gebeurd. Het feit dat wij dit soort bedrijven nog steeds acceptabel vinden blijft mij verbazen.

En het rechtssysteem is mooi hoor, echter dat laat niks op als het gay om buitenlandse bedrijven. Of online domheid van bedrijven.
Je maakt het niet beter met zo'n antwoord.
Een rechtssysteem deelt nooit automatisch straffen uit, het is altijd een afweging van alle belangen, rechten en eventueel vergelding. Je vraag viel dus in de categorie domme vragen (of opmerkingen), vandaar mijn 'sneue reactie'. Je suggereerde eigenlijk totaal geen vertrouwen te hebben in de rechtsstaat en dan heb je hier dus niets te zoeken.

En voor wat betreft de IT-community, daar geldt helemaal niet voor dat ze 'te aardig' zijn. Sterker nog, dit soort zaken worden bijvoorbeeld hier bij Tweakers als zeer onacceptabel ervaren.
Ik zeg eerder publiceren dit soort meuk
En zo dus de privacy van al die mensen die er niets aan kunnen doen schaden? Nu is de database waarschijnlijk niet misbruikt, maar ga je het meteen vrijgeven dan is het 100% zeker dat deze misbruikt wordt.
Serieus, denk je werkelijk dat criminelen niet al jaren dit soort databases vinden en gebruiken. Tuurlijk is de data al lang weggelekt, dat het netjes gemeld is en de database “niet” langer eenvoudig bereikbaar is, betekend niet dat er geen datalek is geweest.
Dat is een aanname die jij niet kunt bewijzen...
Loopy, net so min als je jouw naïeve aanname kan staven. Ik zou maar uitgaan van het worst care scenario i.p.v. optimistische ‘het zal wel niet fout zijn gegaan’ denkgoed.
De kans dat een online crimineel deze database al eerder heeft ontdekt en de data heft gekopieerd en/ of misbruikt is inderdaad groot. Maar wanneer je iedereen er op wijst dat de database open staat, duikt elke online crimineel er meteen op en is de potentiële schade vele malen groter.
Waarbij dus de klanten mogelijk de sjaak zijn,, nee dan ga ik eerder voor een disclosure time, goed documenteren waar het allemaal fout ging en achteraf nadat het gefixed is ze volledig afbranden in een rechtzaal waar een rechter kan oordelen of mijn flame gestaaft is.
Al gaat een bedrijf onverantwoord met mijn data om en het wordt ontdekt, dan is het nog niet de bedoeling dat de ontdekker hiervan ook nog eens onverantwoord gaat doen door dit zo spoedig mogelijk in de openbaarheid te brengen, zodat Jan en alleman bij de 'open' data kan. Misschien vind je dat er een soort vergelding moet zijn voor het foute handelen, maar het gaat om beginsel nog steeds om de data van mensen die dan nog meer gevaar lopen.
Ik zal niet ontkennen dat het wel een enorme stomme actie is als bedrijf dat voor toegang en veiligheid zorgt om zo af te gaan, hoe geloofwaardig ben je dan nog?
We zijn veel te aardig als Community voor bedrijven.
De tweaker community? Wat heeft die hierover te zeggen? En hoe zou onaardig doen er dan uitzien? Nog meer schelden.
Het lek zit in Biostar-2, een 'webgebaseerd, open en geïntegreerd beveiligingsplatform' waarmee gebruikers zich online kunnen identificeren bij diensten van derde partijen.
Dat heet een understatement.

Het feit dat vingerafdrukken en wachtwoorden 'ruw' bewaard worden zet meteen vraagtekens bij de beveiliging van dit 'beveiligings'platform. Ook heb je nu kans dat werknemers van organisaties hun eigen werkgevers kunnen aanklagen voor het laten uitlekken van hun gegevens. Het is dan aan de werkgever om geleden schade eventueel te verhalen bij Suprema. Ik zou dan wel snel zijn, want als anderen dat ook doen (en er succesvol in zijn) dan is er een kans dat Suprema straks niet meer bestaat.

[Reactie gewijzigd door The Zep Man op 14 augustus 2019 13:31]

Dat wordt dan nieuwe tokens door Biostar laten verschaffen. Iedereen een 6e vinger.

Dit geeft ook precies aan waarom biometrische authenticatie zo waardeloos is. Je kunt geen nieuwe tokens uitgeven.
En daarom moet je je vingerafdruk nooit en te nimmer delen. Gewoon niet doen.
Dat vind ik ook. Alleen kan ik dan geen paspoort aanvragen :(
Dat is de reden dat ik nu ID kaart heb i.p.v. paspoort
Ik ook, maar dat is ook alweer teruggedraaid. Dus als je ID verloopt wordt je ook acuut als verdachte aangemerkt.
Hoezo? Je hoeft toch nog steeds geen vingerafdruk af te geven? Voor mij de reden dat ik een id heb.
Het is een tijdje verplicht geweest, daarna afgeschaft voor ID-kaarten (die zijn niet langer geclassificeerd als reisdocument, waardoor het niet meer hoefde), en inmiddels weer terug ingevoerd. Het is nog niet daadwerkelijk van kracht, maar da's slechts een kwestie van tijd:
nieuws: Europees Parlement stemt in met verplichting vingerafdrukken op id-ka...
Dank. Dat is nieuw voor mij. Zal snel voor de tweede keer vervroegd een nieuwe halen.
Je algoritme aanpassen zodat bij een zelfde vinger een andere hash uitkomt.
Wat nutteloos is als men de gehele vingerafdruk heeft waarop hashes gebaseerd worden. De aanvaller genereert dan simpelweg de nieuwe gevraagde hash.
Ik ging ervan uit dat er geen "foto's" van vingerafdrukken waren opgeslagen.
Foute aanname. Zie de eerdere post van mij.

Bovendien moet ooit ergens een ruwe vingerafdruk verwerkt worden, wat meteen een gevoelig punt is om vingerafdrukken te stelen. Denk aan het skimmen van de magneetstrip van bankpassen.
Exact. Biometrische data is alleen bruikbaar om een persoon te identificeren, maar niet als tweede factor.
komt het er dan ook op neer dat als je vingerafdrukken publiek zijn, deze niet meer als identificatie gebruikt kunnen worden ?
Niet met 100% zekerheid.
Het zou een argument kunnen zijn in een rechtzaak. Als crimineel zou je er in sommige gevallen bij gebaat kunnen zijn, lijkt me.
Dat wordt dan nieuwe tokens door Biostar laten verschaffen. Iedereen een 6e vinger.
Ik heb al sinds jaar en dag een 6e vinger! Sterker nog, ik heb er zelfs 10!
Aan een hand? Da's bijzonder.
Niemand zegt iets over het aantal handen. Jij wilde mensen graag een zesde vinger geven en ik heb al zes vingers :-)
Precies de reden waarom ik nog _nooit_ gebruik heb gemaakt van vingerafdruk authenticatie.
Een veelgemaakte denkfout is dan ook dat vingerafdrukken authenticatie betreffen. Dat is fout. Vingerafdrukken kan je gebruiken voor identificatie. Zeg maar het invullen van de gebruikersnaam in plaats van het wachtwoord. Voor authenticatie zijn ze echter slecht omdat ze te makkelijk nagemaakt kunnen worden en er een hoge foutmarge aanwezig is.

Een combinatie van een vingerafdruk (jezelf identificeren) en iets dat je weet (PIN code) kan gebruikt worden om bijvoorbeeld een smartcard met PIN te vervangen. Je hebt in die situatie echter een enkele authenticatiefactor (de PIN), terwijl je met een smartcard er twee hebt (naast de PIN ook de smartcard zelf).

[Reactie gewijzigd door The Zep Man op 14 augustus 2019 14:22]

Zal vast wel een of andere prutser zijn geweest met een webpagina die vanuit javascript data uit de elasticsearch database haalde, en bij het publiek stellen van de webpagina erachter kwam dat er geen data doorkwam, dus dan ook maar de ES API publiek maken.

Ook wel slecht dat de authenticatie niet geconfigged was, ook voor een database die enkel intern benaderbaar zou zijn.
PayPal heeft sinds kort ook vingerafdruk authenticatie via Chrome op Android. Ik ga er vanuit dat dit niet van hetzelfde systeem gebruik maakt, aangezien het de native android API lijkt te gebruiken voor de vingerafdrukken. Toch?
Dit maakt gebruik van de webauthn standaard die door de meeste browsers onderhand wordt ondersteund. Hierbij wordt je vingerafdruk of een hash van je vingerafdruk niet opgeslagen op de site maar wordt er gebruik gemaakt van public/private key authenticatie die is beveiligd met de native OS beveiliging implementatie (vingerafdruk, pincode etc).
Ik heb me nooit verdiept hoe vingerafdrukken worden bewaard. Ik vermoed dat men het contract tussen de lijntjes omzet naar een frequentie, waar me dan een fourrier analyse op toepast, en zo de frequenties kan matchen.
Ik vermoed net hetzelfde voor muziek, adhv een fourrier analyse de "grondfrequenties" achterhalen om te kunnen vergelijken

[Reactie gewijzigd door g4wx3 op 14 augustus 2019 14:00]

Dat is wel een heel open beveiligingssysteem. ;)

Valt toch wel wat voor gesloten beveiligingssoftware te stellen.
In ieder geval voor een gesloten beveiligingsdatabase.
Geen probleem toch, als je niets te verbergen hebt?
</sarcasme>

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True