Karin Spaink Beeld Artur Krynicki

Liggen je biometrische gegevens op straat, dan ben je voorgoed de pineut

Plus Karin Spaink

Wordt je paspoort gejat, dan komt daar geheid ellende van, maar je kunt een nieuw exemplaar aanvragen en hopen dat je niet het slachtoffer wordt van identiteitsfraude: met de nasleep daarvan kun je nog jaren zoet zijn. Denk aan mobieltjes die op jouw naam zijn aangeschaft, onterechte bekeuringen, valselijk afgesloten leningen.

Met biometrische gegevens ligt het anders. Zijn je gezichts­scan of je vingerafdrukken in verkeerde handen beland, dan ben je voorgoed de pineut – je kunt geen andere facie of vingers aanvragen. Voor de rest van je leven kunnen jouw onuitwisbare kenmerken door derden worden misbruikt.

Daarom was de ontdekking van security-experts eerder deze maand zo onthutsend. Biostar 2, een biometrisch beveiligingssysteem waarin gegevens van miljoenen gebruikers zijn opgeslagen, is zo lek als een mandje. De experts ontdekten onbeveiligde Biostar 2-servers, en zagen dat de gegevens van gebruikers onversleuteld waren opgeslagen: namen, wachtwoorden, adressen, gezichtsscans, vingerafdrukken, rangen, toegangs­codes – de hele rataplan.

Het betrof ruim 27 miljoen records. De experts konden de data uitlezen, wissen, of veranderen. Ze konden zelfs valse gebruikers aanmaken, compleet met vingerafdrukken en gezichtsscan.

Biostar 2, eigendom van Suprema, is onderdeel van het beveiligingssysteem AEOS, dat door 5700 organisaties in 83 landen wordt gebruikt. Die organisaties variëren van sportclubs tot overheidsinstanties, van de Londense politie tot banken, van defensiebedrijven tot – o ironie – een identiteitspasjesfabrikant.

Nadat de security-experts Suprema hadden gewaarschuwd, dichtte het bedrijf het gat op zijn servers, maar Biostar slaat de gegevens nog altijd onversleuteld op. Een beveiligingsbedrijf dat zulke basale fouten maakt (‘Suprema: koploper in biometrie, beveiliging en identiteitscontroles’, pochen ze zelf), heeft zichzelf volkomen gediskwalificeerd. Niemand zou nog zaken met ze moeten doen, en Suprema verdient een vette boete per blootgesteld record.

Zulke verhalen zijn reden tot grote zorg. Iemands gezichts­scan en vingerafdrukken zouden slechts bij hoge uitzondering mogen worden afgenomen, en onder stringente beveiliging worden opgeslagen, geraadpleegd of gedeeld. Elke fout die ermee wordt gemaakt, is onherstelbaar, en levert levenslang risico’s op voor de benadeelden. Plus dat locaties er lek van worden: aangezien hackers nieuwe gebruikers konden aanmaken, kon feitelijk iedereen op die manier een met Biostar beveiligde locatie binnenlopen.

Misschien, zo opperen de security-experts, is betalen met je duimafdruk niet zo’n goed idee wanneer onze vingerafdrukken zo slecht beveiligd worden. Misschien moet je geen lid willen worden van een sportclub die een gezichtsscan wil als toegangscode. En misschien moeten we van overheden eisen dat ze biometrische gegevens zwaarder bewaken.

Reageren? Mail dan naar k.spaink@parool.nl

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden