Onderzoeker kraakt vingerafdrukbetaling Albert Heijn
Gepubliceerd: Maandag 30 juni 2008
Auteur: Brenno de Winter
De nieuwe Tip2Pay betaaldienst van Albert Heijn is nu al misbruikt. Een onderzoeker kopieerde eenvoudig een vingerafdruk en kon daarmee boodschappen afrekenen.
Albert Heijn introduceerde zijn Tip2Pay nog geen twee weken geleden als proef. De dienst laat consumenten met hun vingerafdruk voor boodschappen betalen.
Misbruikt
Ton van der Putte, oud medewerker van ATOS Origin die gespecialiseerd is in biometrie, maakte als demonstratie een kopie van een vingerafdruk. Met een rubberen kopie van een vingerafdruk kon hij vervolgens bij de kassa afrekenen. Zowel het systeem als de kassamedewerker hebben de vervalsing niet opgemerkt.
Het kopiëren van een vingerafdruk is relatief eenvoudig. Een vingerafdruk op een verpakking of een glas is daarvoor al voldoende.
De hack komt niet als een verrassing, want diverse beveiligingsdeskundigen hebben bij de introductie gewaarschuwd dat de technologie onveilig is. Albert Heijn lijkt zich daar echter nog weinig van aan trekken. Afgelopen vrijdag verklaarde de keten nog op het Utrechtste radiostation Roulette FM dat het diverse maatregelen heeft genomen. "Met de beveiliging zit het wel goed", stelde een woordvoerder.
Oude hack
Van der Putte voerde het onderzoek uit in samenwerking met BioXS, zijn voormalig werkgever. De specialist in biometrische beveiliging vreest dat de slechte beveiliging van Albert Heijn het imago van de sector beschadigt.
Van der Putte is geen onbekende op dit gebied. Sinds 1990 heeft hij al meerdere malen bewezen dat het werken met een vingeradruk alleen onvoldoende veilig is.
Ook de Chaos Computer Club demonstreerde in 2004 al hoe een vingerafdruk eenvoudig te kopiëren is en schreef zelfs een handleiding. Ook werd een vergelijkbaar vingerafdruksysteem van een supermarkt vorig jaar november al onderuit gehaald.
Dit jaar lukte het de club om de vingerafdruk van de Duitse minister van Binnenlandse Zaken Dr. Wolfgang Schäuble te kopiëren van een wijnglas en te publiceren. In reactie hierop is nu een debat ontstaan om af te zien van het gebruik van vingerafdrukken in paspoorten.
Vrijwillige kopie
Albert Heijn zegt in een reactie niet verbaasd te zijn, omdat de persoon vrijwillig zijn vingerafdruk heeft afgegeven. Daarbij wijst de supermarkt erop dat een bankpas ook te dupliceren is. Een woordvoerder benadrukt dat de proef verschilt met het Duitse incident omdat hier de test in een "beschermde omgeving met een cassiere" wordt gedaan.
In het geval van misbruik loopt de klant geen enkel risico, bezweert het bedrijf. Bovendien is een limiet gesteld aan het bedrag dat met een vinger kan worden afgerekend. Albert Hein beschouwt Tip2Pay vooral als test om te zien hoe de klant de dienstverlening ervaart. De keten verwacht bij een landelijke uitrol extra beveilingsmaatregelen te treffen.
