Gemeente Buren gaat bij ransomware-aanval gestolen id-bewijzen vervangen

Door Anoniem: Dat heeft toch totaal geen enkele zin? De typische acceptant van een “copietje ID” als legitimatie bij het aangaan van een verplichting gaat toch niet checken of het een copietje is van een ID die inmiddels vervangen en dus ongeldig is? Sterker nog, volgens mij hebben ze daar meestal niet eens de mogelijkheid voor.

Precies dat vroeg ik mij ook af.

Een stukje uit https://www.rvig.nl/reisdocumenten/basisregister-reisdocumenten:

Het Basisregister reisdocumenten bevat Nederlandse reisdocumenten die niet meer in omloop mogen zijn omdat ze van rechtswege zijn vervallen (artikel 47 Paspoortwet). De Rijksdienst voor Identiteitsgegevens beheert het Basisregister. Toegang hebben alleen bestuursorganen die de gegevens nodig hebben voor de uitvoering van hun publiekrechtelijke taken.

Of bijv. banken dat register (mogen) raadplegen als er bijv. een lening wordt afgesloten, weet ik niet.

Nb. i.p.v. vermist, ingetrokken of ongeldig verklaard is soms sprake van dat een “identiteitsbewijs gesignaleerd staat in het Basisregister reisdocumenten”.

Door Anoniem: Die actie zou alleen zin hebben als ze (of eigenlijk: de staat) een online service zouden aanbieden waarmee je een willekeurige (scan van een) ID kunt checken op geldigheid.

Een scan van een ID is nooit geldig omdat op z’n minst een deel van de echtheidskenmerken erin ontbreekt. Bovendien zijn tastbare identiteitsbewijzen (dus ook scans ervan) sowieso onbruikbaar als bewijs van identiteit als de betreffende persoon niet in levenden lijve voor de controleur staat (zie onderaan deze post).

Voor een “revocation check” volstaat in principe een identiteitsbewijsnummer (bijv. paspoortnummer).

Daarvan is de lengte echter aan de korte kant en/of enumeratie zou wel eens eenvoudig kunnen zijn. Bij een publiekelijk beschikbare service (“is het ID-bewijs met dit nummer geblokkeerd”) zouden kwaadwillenden mogelijk eenvoudig een ander geldig nummer kunnen vinden dat niet is ingetrokken en de scan daarmee aanpassen (“photoshoppen”). Bijv. met cryptografische randomness gegenereerde (voldoende lange) GUID’s is dit te voorkomen, maar het risico is dan groot dat zo’n service vervolgens als legitimatie wordt gezien voor online “authenticatie” middels ID-scans. Daar schiet het veel grotere aantal (toenemend) slachtoffers van identiteitsfraude, wiens identiteitsbewijs nog niet is geblokkeerd, helemaal niets mee op – integendeel.

Sowieso is het kunnen overleggen van een kopie of een scan van een identiteitsbewijs geen bewijs dat het jouw identiteit betreft. Als dat wel bewijs zou zijn, kan degene die de kopie van jou heeft ontvangen ook bewijzen dat hij jou is.

Iets dat geen secret is (BSN, paspoort, …) als shared secret gebruiken met notabene veel en/of potentieel onbetrouwbare partijen (inclusief hun mate van gegevensbescherming) is vragen om ellende. Mogelijk dat te veel mensen niet snappen hoe bijvoorbeeld asymmetrische cryptografie werkt en daarom denken dat er geen betere oplossingen bestaan.

Bron: Security.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

12Privacy.nl