Wordt je paspoort gejat, dan komt daar geheid ellende van, maar je kunt een nieuw exemplaar aanvragen en hopen dat je niet het slachtoffer wordt van identiteitsfraude: met de nasleep daarvan kun je nog jaren zoet zijn.

Met biometrische gegevens ligt het anders. Zijn je gezichts­scan of je vingerafdrukken in verkeerde handen beland, dan ben je voorgoed de pineut – je kunt geen andere facie of vingers aanvragen. Voor de rest van je leven kunnen jouw onuitwisbare kenmerken door derden worden misbruikt.

Daarom was de ontdekking van security-experts eerder deze maand zo onthutsend. Biostar 2, een biometrisch beveiligingssysteem waarin gegevens van miljoenen gebruikers zijn opgeslagen, is zo lek als een mandje. De experts ontdekten onbeveiligde Biostar 2-servers, en zagen dat de gegevens van gebruikers onversleuteld waren opgeslagen: namen, wachtwoorden, adressen, gezichtsscans, vingerafdrukken, rangen, toegangs­codes – de hele rataplan.

Het betrof ruim 27 miljoen records. De experts konden de data uitlezen, wissen, of veranderen. Ze konden zelfs valse gebruikers aanmaken, compleet met vingerafdrukken en gezichtsscan.

Biostar 2, eigendom van Suprema, is onderdeel van het beveiligingssysteem AEOS, dat door 5700 organisaties in 83 landen wordt gebruikt. Die organisaties variëren van sportclubs tot overheidsinstanties, van de Londense politie tot banken, van defensiebedrijven tot – o ironie – een identiteitspasjesfabrikant....

....Misschien, zo opperen de security-experts, is betalen met je duimafdruk niet zo’n goed idee wanneer onze vingerafdrukken zo slecht beveiligd worden. Misschien moet je geen lid willen worden van een sportclub die een gezichtsscan wil als toegangscode. En misschien moeten we van overheden eisen dat ze biometrische gegevens zwaarder bewaken.

Alles bij de bron; Parool