Video-Ident prosedürü, İnternet’teki birçok alan için kullanılır. Örneğin bu şekilde banka hesapları açılabilir ve sözleşmeler yapılabilir. Ancak artık her zaman güvenli kabul edilen video tanımlama sürecinde ciddi bir güvenlik açığı keşfedildi.
Chaos Computer Club’dan (CCC) güvenlik uzmanları, görüntülü tanımlama sürecini alt etmeyi başardılar ve böylece bir güvenlik açığını ortaya çıkardılar. Bu süreçte kullanıcıların kimliklerini tespit edebilmeleri için kimlik kartlarını farklı açılardan kamera önünde tutmaları gerekiyor. Ama sorun tam da burada yatıyor.
CCC, video tanımlama sürecinde bir güvenlik açığı keşfetti
CCC, Video-Ident prosedürünün tüm tanımlama sürecini manipüle etti ve böylece güvenlik açığıyla karşılaştı. Uzmanlar bir kimlik kartının dijital ikizini oluşturdular ve yerine isim, adres ve pasaport fotoğrafı koydular. Yazılım kullanarak, kimlik kartının orijinalini ve gözden geçirilmiş kopyasını bir video kopyasında birleştirdiler. Şimdi görüntülü tanımlama sürecini başlattılar, ancak gerçek bir kimlik tutmak yerine, kameranın kimliğinin kopyasıyla videoyu tuttular. Aynı zamanda, zayıf kameralı bir akıllı telefon kullandılar ve bu da görüntü aktarımının kalitesini makul ölçüde düşürdü. Durum, görüntülü kimlik hizmeti çalışanlarını kimlik kartının gerçek olduğuna inandırmak için yeterliydi.
Video tanımlama sürecinin toplam altı ulusal ve uluslararası sağlayıcısı bu şekilde kandırıldı. Özellikle kötü: Kimlik kartında bariz hatalar görülse bile prosedür işe yaradı. Bu nedenle CCC’deki uzmanlar, sıradan kullanıcıların da video tanımlama sürecindeki güvenlik boşluğundan kendileri için yararlanabileceğini varsayıyor. Sonuç bu nedenle açıktı: Uzmanlar prosedürün güvenliğini “tamamen başarısızlık” olarak nitelendirdi.
Ayrıca okuyun: Evden çevrimiçi bankacılık erişimini etkinleştirin
Güvenlik açığı yoluyla erişilebilen elektronik tıbbi kayıtlar
Başta belirtildiği gibi, İnternetteki video tanımlama prosedürü genellikle hesapların veya sözleşmelerin akdedilmesi için bir ön koşuldur. Ancak tıp alanında da örneğin ePatient dosyasına ve eReçete hizmetlerine erişim sağlamak için kullanılmaktadır. Video tanımlama sürecindeki güvenlik açığı nedeniyle, uzmanlar böylece Almanya’da yasal sağlık sigortası olan 73 milyon kişinin her birinin tıbbi kayıtlarına erişebildi. Ve bu, orada doktorlardan, hastanelerden ve sigorta şirketlerinden depolanan tıbbi bilgileri içerir. CCC, bunun sorunsuz çalıştığını bile test etti ve başlatılan bir test görevlisinin dosyalarını aradı ve açtı. Güvenlik uzmanları daha sonra tamamlanmış reçetelere, engellilik sertifikalarına, tıbbi teşhislere ve orijinal tedavi belgelerine erişebildi.
Sağlık sigortası şirketleri, güvenlik açığı nedeniyle görüntülü tanımlama sürecini şimdilik askıya almak zorunda. Alman sağlık sisteminin dijitalleştirme hizmet sağlayıcısı Gematik’e göre, sağlık sisteminin dijitalleştirilmesinde yüksek koruma ihtiyacının arka planında bu adım kaçınılmaz. “Gematik, telematik altyapısında (TI) kullanılmak üzere kimlik belirleme araçlarının düzenlenmesi için video kimlik prosedürlerinin daha fazla kullanılmasına artık izin verilmediğini ilan etti ve 9 Ağustos 2022’de sağlık sigortası şirketlerinin video kimlik prosedürünü kullanabileceğine karar verdi. derhal yürürlükten askıya alma ile ”resmi açıklamayı okur. Video tanımlama prosedürlerinin yeniden onaylanmasına ilişkin bir karar, ancak sağlayıcılar, prosedürlerinin artık gösterilen zayıflıklardan etkilenmediğine dair somut kanıt sağladığında verilebilir. Federal Sağlık Bakanlığı da şu an için tıp sektöründe görüntülü kimlik prosedürünü durdurma kararının arkasında.
Ayrıca okuyun: Dijital ehliyet cep telefonlarına geliyor – ancak yine de sınırlamaları var
Yetkililerin tepkisi
Ancak herkes Gematik kadar tedbirli değil. CCC, veri koruma yetkililerinin ve Federal Bilgi Güvenliği Ofisi’nin (BSI) uzun süredir video tanımlama sürecindeki gibi güvenlik açıkları konusunda uyarıda bulunduğuna dikkat çekiyor. Ancak uzmanlara göre, şimdiye kadar Federal Ağ Ajansında “sağır kulaklara düştüler”. Yetkili makamın gerekçesi: “Federal hükümet henüz herhangi bir özel güvenlik olayının farkına varmadı.” Ve aslında, şimdi keşfedilen güvenlik açığı daha önce BSI tarafından bilinmiyordu. Bu nedenle, CCC, kendi ifadesine göre, belirli bir güvenlik olayını gündeme getirmekten ve böylece eylem ihtiyacını vurgulayabilmekten memnundur.
BSI ayrıca, videolu tanımlama sürecinin belirli koşullar altında diğer uygulama alanlarında ne ölçüde kullanılmaya devam edilebileceğine ilişkin kararın ilgili denetim makamlarının sorumluluğunda olduğunu da vurguladı. Görünüşe göre CCC raporu birçoğunu sarstı. Örneğin, sorumlu Federal Mali Denetleme Kurumu (Bafin), talebi üzerine açıkladı. sıcakbilgilerin de çok ciddiye alındığını gösterir. Ancak sağlık sigortası şirketlerinin prosedürü kullanmama kararı, diğer sektörlerdeki uygulamalar hakkında otomatik olarak sonuç çıkarılmasına izin vermemektedir. Çünkü yetkililer henüz herhangi bir ayrıntıdan haberdar değil. Bafin’den bir sözcü, “Bu nedenle açıklanan saldırı senaryolarının nihai bir değerlendirmesi ve olası önlemlere ilişkin bir karar henüz mümkün değil” dedi.