Journalisten kraken stemherkenning bank
Het is BBC-journalist Dan Simmons en zijn niet-identieke tweelingbroer Joe gelukt om het biometrische authenticatiesysteem van de bank HSBC te kraken. In het tv-programma Click leidde Joe de beveiligingssoftware, gebaseerd op stemherkenning, om de tuin door de stem van zijn broer zo goed mogelijk na te doen.
Na het openen van een bankrekening bij HSBC, inclusief telefonische service met stemherkenning als beveiliging, liet Dan zijn broer Joe bellen met de bank. Na het controleren van gegevens als geboortedatum en rekeningnummer, wat in dit geval niet moeilijk was, sprak Joe de controlezin ‘Mijn stem is mijn wachtwoord’ in. Hoewel de bank stelt dat elke stem uniek is en het systeem daardoor veilig, lukte het Joe om toegang te krijgen tot telefonische rekeninggegevens.
Banksaldo
Hoewel het niet mogelijk was om telefonisch geld van de rekening te halen, kon Joe wel het banksaldo en recente transacties opvragen. Bovendien kreeg hij de mogelijkheid voorgelegd om geld tussen verschillende (eigen) rekeningen over te maken. In een reactie stelde de bank dat het zou onderzoeken hoe het identificatiesysteem gevoeliger kon worden ingesteld.
Opvallend is dat gebruikers meerdere keren de mogelijkheid krijgen om de controlezin opnieuw in te spreken. Het lukte Joe bij de achtste poging, terwijl een redacteur van het programma het 20 keer binnen 12 minuten mocht proberen. ‘Zo kunnen mogelijke dieven het zo vaak proberen als ze willen, tot het een keer lukt’, stelt Joe Simmons.
Veiliger
HSBC introduceerde beveiliging op basis van stemherkenning in 2016, waarbij 100 verschillende karakteristieken van de menselijke stem worden gebruikt om de identiteit van een klant vast te stellen. ‘Hoewel tweelingen een vergelijkbare stem hebben, heeft de introductie van deze technologie ervoor gezorgd dat fraude sterk is teruggedrongen. Bovendien is deze methode bewezen veiliger dan pincodes, wachtwoorden en zinnen die je kunt onthouden.’
Veiligheidsexpert Alan Woodward van de Universiteit van Surrey noemt het tegenover de BBC gevaarlijk om te vertrouwen op één biologisch kenmerk om iemand te verifiëren. ‘Ook zulke gegevens worden gekopieerd. Dat hebben we in het verleden al gezien bij vingerafdrukken.’ Afgelopen week lukte het hackers in Duitsland om met de foto van een iris, met daarop een lens geplakt, toegang te krijgen tot een Samsung Galaxy S8+.