Отпечатки пальцев, изображения радужной оболочки глаза, слепки голоса и другие биометрические данные все шире используются для аутентификации пользователей информационных систем, а также в процессе клиентского обслуживания. Биометрия удобна, обеспечивает высочайшую точность распознавания объекта, но защита информации на 100% здесь не гарантирована. Аналитический центр InfoWatch составил дайджест последних утечек биометрических данных и примеров обхода соответствующих систем безопасности.
В ряде стран биометрическая информация граждан используется в процессе всенародного волеизъявления на выборах. К сожалению, уже были примеры утечек баз данных из избирательных комиссий. Последний инцидент произошел в Зимбабве летом 2018 г. Хакеры клонировали домен местного избиркома, проникли в сетевое хранилище и похитили важную информацию об имеющих право голоса. Помимо базы отпечатков пальцев, злоумышленники завладели такими персональными данными, как фотографии, адреса, номера мобильных телефонов, номера национальных идентификаторов. Эта атака вызвала панику среди избирателей, многие боялись, что результаты выборов окажутся сфальсифицированными.
Уже не первый год отпечатки пальцев широко используются для идентификации. Например, системы типа Touch ID разработали многие производители смартфонов и ноутбуков. Однако, постепенно надежность такого способа снижается. Так, в прошлом году была обнаружена опасная уязвимость сканеров отпечатков пальцев для широкой линейки ноутбуков Lenovo. Из-за слабого алгоритма шифрования злоумышленники могли получить доступ к личным данным, хранящимся в программном приложении Fingerprint Manager Pro.
Как показывает эволюция информационной безопасности, системы защиты должны постоянно совершенствоваться. Самый сложный рубеж со временем может быть преодолен. Так, исследователи Нью-Йоркского университета доказали, что систему идентификации на основе отпечатков пальцев можно постепенно взломать при помощи технологий машинного обучения. Ученые создали нейросеть DeepMasterPrints. Используя возможности искусственного интеллекта и специальные алгоритмы, сеть постепенно учат подделывать отпечатки пальцев различных людей. Источником данных для DeepMasterPrints служит огромная база отсканированных отпечатков пальцев. По состоянию на ноябрь 2018 г. сеть могла успешно обойти системы защиты при использовании 23% сгенерированных образцов.
Более совершенным способом идентификации, чем отпечатки пальцев, служит распознавание лиц (системы типа Face ID). Но и здесь, как оказалось, нет абсолютной гарантии защиты. В конце 2018 г. журналист «Форбс» Томас Брюстер (Thomas Brewster) провел эксперимент: он решил проверить работу систем распознавания лиц на различных смартфонах, используя гипсовую копию своей головы. Брюстер по очереди подносил модель головы к пяти смартфонам, в память которых уже была внесена информация о его настоящем лице. Все четыре устройства на базе Android удалось разблокировать, пусть и не все с первого раза. Не дала себя «обмануть» только система Face ID на iPhone X. Но и ее данные могут быть скопированы, предупреждают специалисты по кибербезопасности.
Самой крупной базой биометрической информации в мире на сегодня является индийская Aadhaar. В ней зарегистрированы более 1,1 млрд человек. Помимо уникальных