Tietoturvayhtiö Trend Micron uusin tutkimus varoittaa saumattoman kirjautumisen vaaroista, joiden takia biometrinen todentaminen saattaa olla tulevaisuuden metaversumin tietoturvan Akilleen kantapää. Jo ennen sitä kannattaa olla varuillaan oman biotunnisteensa kanssa. Tässä taustatietoa biotunnisteiden vaaratilanteista.
Trend Micro varoittaa vuotaneen biometrisen datan aiheuttamasta vakavasta uhasta henkilöiden luotettavalle todentamiselle digitaalisessa maailmassa uudessa ’’Leaked Today, Exploited for Life – How Social Media Biometric Patterns Affect Your Future’’ -raportissaan.
Ongelmana on että biometrisillä teknologioilla on tänään älykännyköiden takia paljon suurempi merkitys arkipäivässämme kuin vielä vuosikymmen sitten. Biotunnisteita käytetään myös passintarkastuksissa, pankkitilin käyttölukituksen avaaminen, käteisen nostaminen pankkiautomaatista tai julkisen liikenteen matkalipun maksaminen biometrisellä anturilla.
’’Biometrisiä ratkaisuja ylistetään joskus vanhempia menetelmiä turvallisemmaksi, perinteisten salasalojen helpommaksi vaihtoehdoksi, kertoo Trend Micron kyberturva-asiantuntija Kalle Salminen. Mutta toisin kuin salasanoja, emme voi muuttaa ulkomuotoamme ja -näköämme noin vain.
Salmisen mukaan biometrisen datan vuotaminen esimerkiksi verkkorikollisille saattaa aiheuttaa kauaskantoisia seuraamuksia niiden käyttäjille. Esimerkiksi käyttäjän metaversumi-profiilin sieppaaminen saattaa pahimmillaan tarjota täyden pääsyn heidän tietokoneelleen ja sen sisältämiin tietoihin.
Kaiken lisäksi sosiaalinen media antaa meille upeita yhteydenpitomahdollisuuksia ystäviimme ja sukulaisiimme. Joillekin se on myös tapa nousta kuuluisuuteen. Jaamme kokemuksiamme valokuvien, videoiden ja äänitallenteiden kautta. Mutta jakaessamme paloja elämästämme paljastamme samalla biometrisiä käyttäytymismallejamme.
Esimerkiksi Instagramissa on lähes 10 miljoonaa julkaisua, jotka käyttävät #EyeMakeup-hashtagia ja #EyeChallenge hashtagin sisältäviä videoita on katsottu TikTokissa yli kaksi miljardia kertaa. Molemmat hashtagit paljastavat kuvia ja videoita julkaisseiden henkilöiden silmien yksilölliset iiriskuviot, joita voidaan käyttää tämän tunnistamiseen.
Sosiaalisesta mediasta kerättyä dataa voidaan käyttää myös identiteettivarkauksiin, valtiolliseen tiedusteluun tai deepfake-kuvien ja -videoiden luomiseen, erityisesti julkisuuden henkilöistä. Vaikka biometrisen datan rikollinen hyödyntäminen on ollut toistaiseksi vähäistä, niin kynnys siihen laskee jatkuvasti. Väärinkäytösten mahdollisuus ja laajuus kasvavat vääjäämättä ajan myötä.
Jonain toisena henkilönä esiintyvät verkkorikolliset voivat Trend Micron mukaan onnistuessaan päästä käsiksi tämän kaikkiin verkkopalveluihin ja -järjestelmiin, käyttämään näiden verkkopankkitunnuksia, tekemään kryptovaluuttakauppoja ja hyödyntämään yrityksen verkosta löytyviä luottamuksellisia tietoja.
Tulevaisuudessa Trend Micron mukaan metaversumin käyttäjäprofiilit voivat olla myös houkutteleva maalitaulu arvokkaan biometrisen datan lähteenä. Esimerkiksi käyttäjän todellisen olemuksen mukaiset 3D-hahmomallit voivat olla arvokas lisä täydentämään silmien iiriksestä ja kasvokuvista kertyvää dataa.
Tulevaisuuden uhkatoimijat saattavat hyvinkin käyttää varastettuja tai vuotanutta biometristä dataa yhdistettyjä laitteiden, kuten VR/AR-lasien, huijaamiseen ja niiden käyttämiin palveluihin sisäänkirjautumiseen. Tämä voi avata ovet tietovarkauksille, petoksille, kiristykselle ja muille ilkitöille.
Taustaa: Biometrinen data tuokin mukanaan aivan uudenlaisia haasteita. Salasana on helppo vaihtaa, mutta biometristä dataa ei muutetakaan noin vain, vaikka ne vuotaisivatkin verkkorikollisten haltuun.
Joissakin tapauksissa ihmiset paljastavat biometristä dataansa tarkoituksellisesti, mutta sen tahaton julkaiseminen tai vuotaminen on paljon vaarallisempaa. Tällöin vääriin käsien joutuvaa dataa saatetaan hyödyntää paljon suuremman mittakaavan rikoksissa. Valtava määrä biometristä dataa, joka sisältää muun muassa kasvojen, iiriksen, kämmenten ja sormenjälkien tunnistustietoja, vuotaa jatkuvasti verkossa niin hyvälaatuisena, että sitä voidaan käyttää tunnistusjärjestelmien huijaamiseen.
Lisää: Trend Micron raportti (LINKKI)
Kuvituskuva: Trend Micro