Vingerafdrukbetaling Albert Heijn volstrekt onveilig

30 juni 2008

De Tip2Pay betaaldienst van Albert Heijn, waarbij klanten met behyulp van hun vingerafdruk kunnen betalen (eerst alleen nog maar in het filiaal Breukelen) is al misbruikt. Een onderzoeker kopieerde op eenvoudige wijze een vingerafdruk en kon vervolgens daarmee simpel zijn boodschappen afrekenen. De dienst werd twee weken geleden door Albert Heijn in samenwerking met Equens en IT Werke. Deze laatste is gespecialiseerd in het integreren van biometrietechnologie in retail- en consumentenapplicaties. Het systeem van IT-Werke werd eerder succesvol getest bij o.a. de Duitse supermarktketen Edeka. Ton van der Putte, ex-ATOS Origin, en gespecialiseerd in biometrie, maakte een kopie van een vingerafdruk. Vervolgens maakt hij hiermee een rubberen prototype dat hij eenvoudig om zijn vinger kon schuiven. Met deze 'rubberen vinger' kon hij bij de kassa afrekenen, zonder dat het systeem of de betreffende medewerker de vervalsing opmerkten. Van der Putte wilde hiermee aantonen dat het vervalsen van een vingerafdruk relatief eenvoudig is. Een afdruk op een verpakking of een glas is daarvoor al voldoende. De hack komt niet als verrassing, want bij de introductie is al door vele beveiligingsexperts dat het een risicovolle techniek is. Albert Heijn lijkt zich daar weinig van aan trekken. 'Met de beveiliging zit het wel goed', stelt een woordvoerder. Dat blijkt nu dus absoluut niet het geval te zijn.

 


Van der Putte voerde het onderzoek uit samen met zijn voormalige werkgever BioXS. Hij bevreest dat de slechte beveiliging en de lakse houding van Albert Heijn het imago van de sector beschadigt. Van der Putte is een bekendheid op beveiligingsgebied. Sinds 1990 heeft hij meerdere malen bewezen dat het werken met een vingeradruk alleen onvoldoende veilig is. Ook de Chaos Computer Club demonstreerde in 2004 hoe een vingerafdruk eenvoudig te kopiëren is en schreef hier zelfs een handleiding voor. Ook werd een vergelijkbaar vingerafdruksysteem van een supermarkt vorig jaar november al onderuit gehaald. Dit jaar lukte het de club om de vingerafdruk van de Duitse minister van Binnenlandse Zaken Dr. Wolfgang Schäuble te kopiëren van een wijnglas en te publiceren. In reactie hierop is nu een debat ontstaan om af te zien van het gebruik van vingerafdrukken in paspoorten. Reinier van der Drift, baas van beveiligingshuis BioXS International, meent dat Albert Heijn volstrekt hiermee een verkeerde weg heeft ingeslagen. Bij de introductie liet hij al weten uiterst bezorg te zijn over de AH-techniek. 'Zoals het nu naar buiten komt, is er sprake van dat alleen de vingerafdruk wordt gebruikt', zo stelde Van der Drift toen. 'Wij zijn zelf distributeur van biometrische apparatuur en dus een voorstander van het gebruik van vingerafdrukscanners. Alleen een vingerafdruk gebruiken kan in een gecontroleerde omgeving, zoals op een kantoor waar de gebruiker bekend is en er sociale controle is. Dan is biometrie vooral een goede vervanger van eenvoudige wachtwoorden. Voor meer veilige toepassingen moet er ten minste nog een andere vorm van authenticatie zijn, zoals een wachtwoord, smartcard of token'. Die is er bij Albert Heijn niet, zoals ook blijkt uit de uitgevoerde proef. Van der Drift legt uit dat banken niet voor niets altijd met twee authenticatiekenmerken werken. 'Je hebt iets wat je bezit, dat is de bankpas. Daarnaast heb je de pincode en dat is iets wat je weet en wat de gebruiker geheim houdt. Door nu terug te gaan naar enkelvoudige authenticatie lopen banken, maar ook de consument, een enorm risico. Bij biometrische authenticatie wordt niet de vingerafdruk zelf opgeslagen maar de uitkomst van een berekening. Vanuit dat getal kan gelukkig nooit de originele vingerafdruk worden herleid. Dat betekent echter dat wanneer in de winkel wordt afgerekend met een nagemaakte vingerafdruk, er nooit met zekerheid kan worden bepaald of de afrekening ook bij de eigenaar van de vinger behoort. Ik vind dit een hele riskante ontwikkeling, die haaks staat op waar we tegenwoordig mee bezig zijn. Steeds meer organisaties kiezen er juist voor om ten minste twee factoren te gebruiken voor authenticatie'. Albert Heijn begint natuurlijk niet voor niets met een dergelijke test. En voor een deel niet ten onrechte. Betalen met de vingerafdruk is namelijk een groot succes bij de Duitse supermarktketen Edeka. Het systeem is zo’n groot succes dat het al bij zeventig winkels werkt en er plannen zijn de betaalmethode bij nog tweehonderd vestigingen door te voeren. Ook andere retailers hebben interesse. De investering valt mee, ongeveer tweeduizend euro per kassa. De retailer heeft daarnaast fikse besparingen, zoals minder contant geld in de kassa’s en geen heffingen meer voor pinbetalingen. Omdat de complete transactie nog geen seconde duurt, nemen bovendien de rijen bij de kassa af. De kritiek op de onveiligheid ervan wordt van de hand gewezen. Er worden immers slechts enkele details van de vingerafdruk vastgelegd, waardoor de afdruk voor criminelen niet na te maken is. Bovendien is er altijd nog een medewerker die meekijkt, waardoor fraudevormen lastig te realiseren zijn. De test van Van der Putte maakt dat verweer wat twijfelachtiger.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.