2 MIO vingerafdrukken gehackt

Op 14 augustus 2019 meldden de media dat door het beveiligingsprobleem in het product Biostar van Suprema een miljoen biometrische data gehackt zijn. (BBC over Suprema-hack, Guardian over Suprema Hack). In de meeste media werd het feit dat Suprema vingerafdrukken niet had versleuteld, als oorzaak genoemd.

In de berichtgeving werd meestal aangenomen dat het niet versleutelen van vingerafdrukken een significant risico met zich mee brengt. Dit is echter niet noodzakelijk het geval. Stel dat je een database hebt met uitsluitend vingerafdrukken. Zou je deze database zonder versleuteling op het internet publiceren, dan is daar voor niemand of niets een risico aan verbonden. Iedereen heeft dan een lijst met vingerafdrukken, oké, maar niemand kan uit die lijst afleiden van wie welke vingerafdruk is of waarvoor die vingerafdrukken voor gebruikt kunnen worden: niemand kan er iets mee.

Wil het publiceren van (niet-versleutelde) vingerafdrukken voor iets of iemand een risico opleveren, dan moet er tenminste een aanvullend (niet-versleuteld) stukje informatie in de lijst zitten. Bijvoorbeeld de informatie dat de vingerafdrukken dienen om toegang te krijgen tot het Paleis van Justitie in Amsterdam. Als het Paleis van Justitie zo slecht beveiligd is dat een vingerafdruk genoeg is, zou je een vingerafdruk uit de lijst dan mogelijk kunnen gebruiken om het Paleis van Justitie binnen te lopen.

Sommigen zouden bij dit gebruik spreken van  identiteitsfraude (je zou door het gebruik van een vingerafdruk van een ander de identiteit van die ander aannemen). Dat is niet zorgvuldig. Omdat je niet weet van wie je de identiteit aanneemt, gaat je gedrag niet verder dan  toegangsfraude. De privacy van degene bij wie de vingerafdruk hoort, is niet in geding.

Wil de privacy van de ‘eigenaar’ van de vingerafdruk in geding komen, dan moet de database naast de (niet-versleutelde) vingerafdruk nog tenminste een andere (niet-versleutelde) identificator bevatten, zoals de naam van de betrokkene of diens BSN of werknemer-nummer, en moet degene die de database raadpleegt het verband kunnen leggen tussen de verschillende (niet-versleutelde) gegevenselementen.

Uit de berichten in de media werd meestal niet duidelijk of mensen die de database zouden hebben geraadpleegd een zodanig verband zouden hebben kunnen leggen tussen niet-versleutelde gegevens dat daardoor daadwerkelijk een risico voor de beveiliging of voor de privacy was gecreëerd. Voor wie wil nagaan of niet-versleuteling daadwerkelijk risico’s heeft opgeleverd, moet de blog raadplegen waarop de hack is gemeld. (Blog vpnMentor) Daaruit blijkt dat er inderdaad een risico voor beveiliging en privacy is geweest. Vingerafdrukken speelden daarbij een rol maar een relatief ondergeschikte.

Voor de technici: als een database is opgebouwd volgens de principes van de Lambda Architecture is versleuteling van informatieve gegevenselementen overbodig. Het is afdoende als de verbindingsbruggen tussen de atomaire informatie in de database adequaat versleuteld zijn.