29-09-2015 21:00

Киберпреступники похитили отпечатки пальцев 5,6 млн американских госслужащих

Если злоумышленники украдут пароль человека, то его можно сменить, однако если похищены отпечатки пальцев, это открывает широкий простор для совершения преступлений против конкретного гражданина на протяжении всей его жизни. Об этом, в частности, в своем недавнем интервью говорил исследователь Карстен Ноль (мы публиковали выдержки из него в блоге на Хабре). Теперь этот тезис получил еще одно подтверждение.
В начале лета 2015 года стало известно о том, что неизвестные злоумышленники осуществили атаку на Управление кадровой службы США (US Office of Personnel Management, OPM) и похитили личные данные более 21 миллионов американских госслужащих. Теперь Управление призналось в том, что среди украденной информации содержались и отпечатки пальцев 5,6 млн служащих.
Представители американских спецслужб, расследующих инцидент, ранее заявляли о том, что подозревают в атаке хакеров из Китая. Управление кадровой службы США является HR-департаментом федерального правительства страны. Это значит, что в руках злоумышленников могли оказаться отпечатки пальцев весьма высокопоставленных госслужащих.
В специальном заявлении предcтавители OPM заявили о том, что возможности для неправомерного использования хакерами украденных данных на данный момент ограничены. Однако с течением времени этот риск может увеличиться в виду, к примеру, более широкого внедрения механизмов биометрической аутентификации в системы безопасности государственных сервисов.

При этом, жертвы утечки начали получать уведомления о том, что их данные были похищены, только в конце сентября, хотя Управление кадровой службы еще летом наняло фирму, которая будет заниматься защитой финансовых данных госслужащих.
Как можно использовать чужие отпечатки? Исследователи безопасности из Chaos Computer Club еще осенью 2013 года продемонстрировали, как легко обойти систему биометрической идентификации TouchID на популярных устройствах компании Apple. Получив чужой отпечаток пальца, немецкие хакеры с помощью несложной техники изготовили «искусственный палец» и разблокировали iPhone 5s, защищенный с помощью TouchID (видео).
Спустя год, зимой 2014 года на форуме 31C3 (мы писали о нем здесь) та же команда представила доклад об удаленном получении биометрик — например, по фотографии. Таким образом, теперь хакерам даже не нужно «снимать пальчики» со стаканов жертвы, достаточно снимка с высоким разрешением. Ниже видео (на немецком) об этой технике, с помощью которой исследователи получили отпечатки первых лиц государства: