Киберпреступники похитили отпечатки пальцев 5,6 млн американских госслужащих



    Если злоумышленники украдут пароль человека, то его можно сменить, однако если похищены отпечатки пальцев, это открывает широкий простор для совершения преступлений против конкретного гражданина на протяжении всей его жизни. Об этом, в частности, в своем недавнем интервью говорил исследователь Карстен Ноль (мы публиковали выдержки из него в блоге на Хабре). Теперь этот тезис получил еще одно подтверждение.

    В начале лета 2015 года стало известно о том, что неизвестные злоумышленники осуществили атаку на Управление кадровой службы США (US Office of Personnel Management, OPM) и похитили личные данные более 21 миллионов американских госслужащих. Теперь Управление призналось в том, что среди украденной информации содержались и отпечатки пальцев 5,6 млн служащих.

    Представители американских спецслужб, расследующих инцидент, ранее заявляли о том, что подозревают в атаке хакеров из Китая. Управление кадровой службы США является HR-департаментом федерального правительства страны. Это значит, что в руках злоумышленников могли оказаться отпечатки пальцев весьма высокопоставленных госслужащих.

    В специальном заявлении предcтавители OPM заявили о том, что возможности для неправомерного использования хакерами украденных данных на данный момент ограничены. Однако с течением времени этот риск может увеличиться в виду, к примеру, более широкого внедрения механизмов биометрической аутентификации в системы безопасности государственных сервисов.



    При этом, жертвы утечки начали получать уведомления о том, что их данные были похищены, только в конце сентября, хотя Управление кадровой службы еще летом наняло фирму, которая будет заниматься защитой финансовых данных госслужащих.

    Как можно использовать чужие отпечатки? Исследователи безопасности из Chaos Computer Club еще осенью 2013 года продемонстрировали, как легко обойти систему биометрической идентификации TouchID на популярных устройствах компании Apple. Получив чужой отпечаток пальца, немецкие хакеры с помощью несложной техники изготовили «искусственный палец» и разблокировали iPhone 5s, защищенный с помощью TouchID (видео).

    Спустя год, зимой 2014 года на форуме 31C3 та же команда представила доклад об удаленном получении биометрик — например, по фотографии. Таким образом, теперь хакерам даже не нужно «снимать пальчики» со стаканов жертвы, достаточно снимка с высоким разрешением. Ниже видео (на немецком) об этой технике, с помощью которой исследователи получили отпечатки первых лиц государства:

    Positive Technologies
    171,00
    Компания
    Поделиться публикацией

    Комментарии 22

      +4
      Хм, а я думал хранятся только какие-то хитрые хэши результатов алгоритмов, которые получаются путём оцифровки скана пальца. Реально хранились bitmap-ы отпечатков?
        +1
        Отпечаток нельзя использовать для человеческой дактилоскопии
          –2
          Как бэ хеши для поиска, да. Но в случае каких то проволочек человек в ручную принимает решение о том принадлежит ли данный отпечаток текущему человеку или нет. Поэтому картинку тож сохраняют.
            0
            Мне кажется, в случае проволочек вручную документы будут проверять.
              0
              в случае проволочек с идентификацией по пальцу, например когда находится несколько лиц с очень схожим отпечатком. Потому рекомендуют держать копию отпечатка для эксперта.
          0
          Об уязвимости медицинского оборудования для хакеров:
          http://www.bbc.com/news/technology-34390165
            0
            Ну, это немножечко уже баян. Исследование Скотта Эрвина опубликовано весной 2014 года. Мы писали о нём в обзоре уязвимостей оздоровительных гаджетов (в самом конце, где про взлом дефибрилляторов):
            habrahabr.ru/company/pt/blog/246855
              0
              Опубликовано на BBC за 4 часа до моего перепоста. Т.е. Вы считаете, что донесли эту информацию в статье с заголовком «Bluetooth и другие способы взлома наручников»?
              Т.е. Вы абсолютно убеждены, что абсолютно все русскоязычные пользователи читают блог вашей компании?
                0
                Мы абсолютно убеждены, что исследование Скотта Эрвина опубликовано весной 2014 года, а сейчас — осень 2015-го.

                Если вас расстраивает такой пруф, как наш блог — можете почитать прошлогодний Wired, там гораздо подробнее, чем в BBC:
                www.wired.com/2014/04/hospital-equipment-vulnerable

                Ничего личного, просто мы предпочитаем добираться до первоисточников с подробностями. А сайт BBC в этом смысле — не лучший источник. Примерно как российские «Известия».
                  0
                  Это похвально, что при современных объемах информации у вас есть возможность заниматься столь глубокими исследованиями.
            +4
            Теперь для кражи айфона не нужно отрубать пальцы.
              0
              Несколько лет назад на лекции по ОИБ (основам информационной безопасности) мой сосед по парте спросил: «А что если отрезать палец?»
              Лектор многозначительно задумался и с самым серьезным видом ответил: «Хм… Вполне разумное решение. Только при использовании нужно не забыть отрезанный палец нагреть»…
              –5
              Да… Наверное этим летом поеду не в Испанию (шенген), а в Сербию…
                +2
                Держите нас в курсе.
                  +1
                  Возможно человек просто имел ввиду, что для получения шенгенской визы теперь требуется сдавать свои отпечатки, и он боится аналогичной их утечки уже из таможенных сервисов?
                    0
                    Мой знакомый россиянин, получавший шенгенскую визу пару месяцев назад, говорит, что никто у него не требовал сдавать отпечатки.
                      +2
                      Эти правила вступили в силу буквально «на днях». Два месяца это большой срок.

                      P.S.: Пишут, что с 14 сентября.
                        0
                        Именно это я и имел в виду ;)…
                        Вообще, если честно, мне не понятно: если есть такое желание использовать биоидентификацию, то почему бы не использовать голос человека? ЦРТ, NICE

                        Голосом можно попросить прочитать какую-нибудь строчку, а с помощью разпознавания речи понять, является ли голос корректным…
                          0
                          Может быть потому, что распознавание голоса всё-таки сильно менее надёжно, чем отпечатки? Я совершенно не в курсе, но может быть голос менее индивидуален и уникален, чем отпечатки?
                            0
                            ChiefPilot, палец можно подделать — пленочка на пальчик и дело в шляпе.
                            Снять отпечаток пальца плевое дело: нужно просто дать в руки бокал вина и все!

                            С голосом труднее, есть технологии, которые даже искаженный голос с 99% вероятностью определяют.
                            Конечно тут тоже есть игра, как в криптографии и стеганографии.
                            Я профан в данных вопросах, но знаю, что в бизнесе голос употребляют. Например в колл центрах…
                0
                их данные были похищены, только в конце сентября, хотя Управление кадровой службы еще летом наняло фирму, которая будет заниматься защитой


                Ну логично было предположить, что наняли такую фирму, в которой крот и завелся. Фирму наняли — следом слив. Вывод напрашивается сам собой

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое