A FacePass, egy brazil arcfelismerő és azonosító alkalmazás több mint 1,6 millió fájlt szivárogtatott ki, felfedve a felhasználók adatait.
A Cybernews kiberbiztonsági kutatói szerint egy olyan fájl maradt védtelenül egy rosszul konfigurált AWS S3 vödörben, amely több mint 1,6 millió, érzékeny felhasználói adatot, illetve rendszerhitelesítési adatokat is tartalmaz. A kiszivárgott adatok között nemzeti azonosítószámok, arcellenőrző szelfik, teljes nevek és telefonszámok is szerepelnek.
Brazília úttörőnek számít a biometrikus ellenőrzés és a digitális személyazonosság bevezetése szempontjából, ez az incidens azonban rávilágított arra, hogy az állami rendszerek mennyire törékenyek lehetnek.
Érdemes megjegyezni, hogy nemrég Magyarországon is elindult a Digitális Állampolgárság Program, amelyet 14 éves kor felett bárki igénybe vehet. És bár ez megkönnyítheti az ügyintézést, elég csak egy ilyen adatszivárgás, és az aláírásunk, a telefonszámunk, vagy épp a fotóink illetéktelen kezekbe kerülhetnek. Emellett az EU is dolgozik egy digitális személyazonosság programon, amelynél ugyanilyen adatvédelmi aggályok merülnek fel.
Életünk végéig sebezhetőek lehetünk, ha kiszivárognak a biometrikus adataink
Kiberbiztonsági szakértők arra figyelmeztetnek, hogy a kiszivárgott adatokat személyazonosság-lopásra, pénzügyi csalásra és célzott adathalászkampányok indítására is fel lehet használni. A szelfik és a hivatalos személyazonosító dokumentumok párosításának lehetősége jelentősen növeli a biometrikus hamisítás kockázatát. Majdnem ugyanilyen aggasztó a FacePass saját AWS hitelesítő adatainak felfedése, amelyek egy esetleges támadónak könnyedén hozzáférést adhattak volna az alkalmazás rendszereihez.
A FacePass adatszivárgása egyébként nem az első eset, hogy sebezhetőséget fedeznek fel egy ilyen alkalmazásban – a szakértők egyre több, rendszerszintű problémát találnak a digitális személyazonossági platformoknál. A biometrikus adatokat – például az ujjlenyomatunkat – nem lehet megváltoztatni, mint egy jelszót. Ha egyszer kiszivárognak, akkor életünk végéig sebezhetőek leszünk a digitális térben.
A FacePass egyébként a Cybernews értesítése után foglalkozott az AWS vödörrel, de még nem adott ki nyilatkozatot az incidensről. Ez a hallgatás még inkább szemlélteti az átláthatóság hiányát, amely számos biometrikus és digitális azonosító platformot érint. Egyértelmű kommunikáció, elszámoltathatóság és szilárd adatvédelmi keretek nélkül a felhasználókra hárul a vállalati és az állami hanyagság terhe.
