Возможны хакерские атаки: медицинские страховые компании останавливают процесс видеоидентификации

Возможны хакерские атаки: медицинские страховые компании останавливают процесс видеоидентификации
Возможны хакерские атаки: медицинские страховые компании останавливают процесс видеоидентификации
Anonim

У хакеров есть как минимум шесть различных способов манипулирования процессом идентификации по видео. Об этом свидетельствуют смоделированные атаки Chaos Computer Club. На данный момент медицинские страховые компании больше не будут использовать эту процедуру - это может произойти и в других областях.

Женщина со смартфоном читает новости со всего мира
Женщина со смартфоном читает новости со всего мира

После того, как компьютерный клуб Chaos продемонстрировал недостатки безопасности в процессе видеоидентификации, немецкие медицинские страховые компании больше не используют видеоидентификацию.

Ответственный поставщик ИТ-услуг Gematik запретил использование процесса видеоидентификации до дальнейшего уведомления. Представитель Федерального министерства внутренних дел заявил в среду, что к ситуации также очень серьезно отнеслись помимо заявления страховых компаний.

Идентификация видео под пристальным вниманием

Процедура будет изучена "очень тщательно". Этот обзор также относится к общему продолжающемуся использованию этой технологии.

В процессе видеоидентификации пользователи загружают видео себя и документ, удостоверяющий личность, которые сравниваются экспертами-людьми или программным обеспечением. До сих пор системы использовались, например, для регистрации в приложениях медицинского страхования с конфиденциальными данными, для регистрации в онлайн-банкинге или в службах каршеринга.

Не менее шести различных типов хакеров

Предупреждение о возможных уязвимостях существует уже некоторое время. Компьютерный клуб Chaos подробно описал, как можно манипулировать шестью процессами видеоидентификации с помощью новой упрощенной атаки.

Идея состоит в том, чтобы объединить два или более реальных документа, удостоверяющих личность, в новый искусственный. «Для этого фрагменты изображения из одного видео переносятся во второе видео», - пояснили в CCC. Например, биометрическая паспортная фотография документа в видеоизображении может быть заменена другой в режиме реального времени.

Адрес также можно изменить. «Меньше всего усилий атакующий приложит, если он на короткое время сам получит удостоверение личности атакуемого, чтобы подготовить нападение», - предупредили в ССС.

Представитель Федерального министерства здравоохранения приветствовал вмешательство Gematik, поскольку данные были конфиденциальной информацией.