巴基斯坦国家生物特征数据库发生数据泄露

据巴基斯坦报纸《黎明报》报道，联邦调查局(FIA)的网络犯罪部门透露，在输出假SIMs的过程中，生物特征数据遭到了黑客攻击。一份通报给国会常务委员会期间透露，该国的国家数据库和登记机关的生物识别数据已经泄密。

这是一个巨大的泄密事件，危及所涉及的企业和组织，以及他们的员工。该团队能够访问超过上百万条指纹记录以及面部识别信息。结合个人详细信息，用户名和密码，犯罪活动和欺诈的可能性很大。

一份《黎明报》最初报告称，来自国家数据库和注册管理局 (NADRA) 的生物识别数据已被黑客入侵。但 Pervez 后来澄清说，数据已被泄露，但并未遭到黑客攻击。

根据 Dawn 的文章，FIA 的另一位董事表示，NADRA 的生物识别系统在 SIM 卡验证过程中遭到破坏。据报道，Pervez 告诉国民议会，费萨拉巴德的镇压行动导致没收了 13,000 张假 SIM 卡。

Pervez 还告诉国民议会，只有 162 名调查人员，FIA 的网络犯罪部门无法解决迄今为止收到的 89,000 起投诉。

2015 年 2 月，在白沙瓦学校大屠杀之后，巴基斯坦政府强制要求对发放移动 SIM 卡进行生物识别验证。

一些出版物，包括ProPakistani日报的新闻，正继续报告认为，生物识别数据遭到黑客攻击，但事实并非如此，根据穆沙拉夫。

Cyber​​ Citadel 首席安全研究员、巴基斯坦电信管理局前网络安全顾问 Rafay Baloch 向信息安全媒体集团证实，NADRA 的后端数据没有被黑客入侵。

“我认为事实没有被正确传达，或者被歪曲，”他说。

当总部位于巴基斯坦的网络安全公司 Rewterz发现，在一个暗网论坛上出售了 1.15 亿巴基斯坦移动用户的数据转储时，巴基斯坦电信公司的数据安全和隐私保护能力被置于显微镜下。

9 月，NADRA 在其应用程序中推出了一项新功能，可用于捕获巴基斯坦公民的生物特征数据、上传数码照片和扫描文件以处理国民身份证。

NADRA 董事长兼首席执行官塔里克·马利克 (Tariq Malik)在 LinkedIn 上发帖称，该计划已成为巴基斯坦数字化的催化剂。“为了在公共便利与保护个人数据之间取得平衡，NADRA 平台部署了隐私设计和默认安全原则以及多级身份验证，”他说。

NADRA 官员尚未回应 ISMG 确认最近数据泄露事件的请求。

利用生物特征数据

尽管与密码和 PIN 相比，生物识别数据被认为是一种更强大、更安全的身份匹配和身份验证机制，但埃森哲的一项研究表明，随着生物识别技术的广泛采用，攻击支持生物识别的系统的动机也在增长。

Baloch 说，用户被骗提供他们的生物识别信息与用户被骗分享他们的密码、PIN 或安全问题的答案没有什么不同。

根据埃森哲的报告，生物识别欺诈检测能力仍然有限。这鼓励网络犯罪分子使用冒充技术和混淆策略，操纵自己的生物识别数据以避免识别。

对最先进的生物识别技术的回顾表明，所有的生物识别系统都可以被欺骗。报告称，即使是虹膜扫描和基于 DNA 的系统也容易受到网络攻击。

埃森哲的研究人员认为，向攻击者展示一系列多种多样且不可预测的障碍不仅会使他们的工作更具挑战性，而且无法系统化。[来源：Freebuf]