Hvad du behøver at vide
- To israelske sikkerhedsforskere opdagede en ukrypteret Biostar 2-database med 23 GB data
- Inkluderet i dataene var fingeraftryk, ansigtsscanninger, brugernavne, adgangskoder og andre personlige oplysninger fra over 1 million mennesker.
- Sårbarheden er nu lukket, og virksomheden er i gang med en dybdegående evaluering af oplysningerne.
I sidste uge opdagede de israelske sikkerhedsforskere Noam Rotem og Ran Locar en for det meste ukrypteret offentligt tilgængelig Biostar 2-database online. Databasen omfattede fingeraftryk, ansigtsscanninger, brugernavne og adgangskoder og personlige oplysninger om over 1 million mennesker.
Biostar 2 er et biometrisk låsesystem udviklet af sikkerhedsfirmaet Suprema, der integreres med AEOS adgangskontrolsystem. AEOS bliver tilfældigvis brugt i 83 lande verden over og 5.700 organisationer, herunder regeringer, banker og det britiske hovedstadspoliti.
Rotem og Locar stødte på denne database under et sideprojekt med vpnmentor, hvor de scanner "porte på udkig efter velkendte IP-blokke, og brug derefter disse blokke til at finde huller i virksomheders systemer, der potentielt kan føre til data brud."
Efter at parret fandt Biostar 2's database, var de i stand til at søge i databasen og manipulere URL'er for at få adgang til dataene.
Forskerne havde adgang til over 27,8 millioner poster og 23 gigabyte data, inklusive admin paneler, dashboards, fingeraftryksdata, ansigtsbehandling genkendelsesdata, ansigtsbilleder af brugere, ukrypterede brugernavne og adgangskoder, logfiler over facilitetsadgang, sikkerhedsniveauer og godkendelse og personlig oplysninger om personalet.
Taler til Værge, sagde Rotem, at de fleste brugernavne og adgangskoder var ukrypterede, og at de også var i stand til at ændre data og tilføje nye brugere til systemet.
I papiret om opdagelsen givet til Guardian, før det blev offentliggjort af vpnmentor onsdag, sagde forskerne, at de var i stand til at få adgang til data fra co-working organisationer i USA og Indonesien, en fitness-kæde i Indien og Pakistan, en medicinleverandør i Det Forenede Kongerige og en udvikler af parkeringspladser i Finland, bl.a. andre.
Hvad gør dette endnu mere farligt, er forskerne påpeget, at databasen indeholder folks fingeraftryk. Det betyder, at fingeraftrykket kan kopieres og bruges af andre i stedet for at gemme en hash af fingeraftrykket, som ikke kan reverse-engineeres.
Rotem og Locar gjorde flere forsøg på at kontakte Suprema, før de sendte deres papir til Guardian i slutningen af sidste uge, og fra onsdag morgen er sårbarheden blevet rettet. Chefen for marketing hos Suprema, Andy Ahn, fortalte Guardian, at virksomheden laver en "dybdegående evaluering" af oplysningerne og:
Hvis der har været nogen konkret trussel mod vores produkter og/eller tjenester, vil vi tage øjeblikkelige foranstaltninger og komme med passende meddelelser for at beskytte vores kunders værdifulde forretninger og aktiver.
Vi har alle set nyhedshistorierne om sikkerhedsbrud, og mere end sandsynligt har du været offer for en af disse tidligere. Det kræver normalt, at du ændrer dit kodeord, men når det kommer til dine biometriske data, kan du ikke bare ændre dit fingeraftryk eller ansigt.
Hvor sikker er ansigtsgenkendelsen på Galaxy S10?