В то время, как нацпрограма «Цифровая экономика» активно продвигает использование биометрических персональных данных россиян в качестве основных идентификаторов для государственных Big Data систем и коммерческих сервисов, информация продолжает утекать. В этой статье мы собрали наиболее крупные инциденты с утечками данных из биометрических систем в России и за рубежом.
Как утекают биометрические персональные данные: 7 ярких примеров за последние 5 лет
В августе 2019 года в открытом доступе оказалось более 27,8 миллионов записей суммарным объемом 23 Гб, включая биометрическую информацию (отпечатки пальцев и фотографии), незашифрованные логины и пароли пользователей, журналы посетителей, сведения об уровне доступа и персональные данные сотрудников организаций. Эта база данных принадлежит южнокорейской компании Suprema, разработчику системы контроля и управления доступом Biostar 2. Данный продукт используется для контроля доступа на режимные объекты (офисные здания, склады и пр.), где идентификация личности выполняется по отпечаткам пальцев и лицу. Biostar 2 используется в британском Скотланд-Ярде, банках и на оборонных предприятиях. Причина утечки – некорректная настройка удаленного сервера Elasticsearch.
Другая масштабная утечка биометрических данных произошла в 2017 и 2018 годах с крупнейшей системой биометрии – индийского Big Data проекта AADHAAR на базе MapR и Apache Hadoop. Конфиденциальная информация о миллиарде резидентов Индии оказалась скомпрометирована. Причиной утечки в 2018 году считается атака злоумышленников, которые взломали информационную систему правительства штата Раджастхан. А годом ранее из-за не недостаточных мер обеспечения cybersecurity, в т.ч. не полностью сформулированных и реализованных требований к информационной безопасности, из AADHAAR утекли данные 135 миллионов человек.
Еще в 2017 году злоумышленники взломали сеть американской компании Avanti Markets, которая производит киоски самообслуживания для приобретения закусок и напитков. В результате атаки хакеры получили доступ не только к платежным данным, но и к биометрической информации клиентов компании. В феврале 2017 года также случилась утечка биометрических персональных данных всех избирателей на Филиппинах. Из Комиссии по выборам был украден сервер, на котором хранились отпечатки пальцев 55 миллионов граждан страны. Аналогичный случай произошел в 2016 году в Гане, когда из избирательной комиссии были похищены 4 компьютера с данными биометрической регистрации голосующих.
Подобный инцидент также имел место в Зимбабве летом 2018 года, когда злоумышленники клонировали домен местного избиркома, проникли в сетевое хранилище и похитили информацию об избирателях: отпечатки пальцев, фотографии, адреса, номера мобильных телефонов, номера национальных идентификаторов.
В России, несмотря на пока не слишком большое распространение биометрии, такие данные уже успели утечь из Сбербанка. В октябре 2019 года на черном рынке данных продавался архив аудиозаписей разговоров клиентов банка с техподдержкой банка. Таким образом, в сеть утекли образцы голоса пользователей этой финансовой корпорации, а речь, как и отпечатки пальцев, снимки лица, также относится к биометрическим персональным данным.
По материалам Школа Больших Данных. Автор Анна Вичугова.