Was du wissen musst
- Zwei israelische Sicherheitsforscher entdeckten eine unverschlüsselte Biostar-2-Datenbank mit Daten im Wert von 23 GB
- Zu den Daten gehörten Fingerabdrücke, Gesichtsscans, Benutzernamen, Passwörter und andere persönliche Informationen von über einer Million Menschen.
- Die Schwachstelle wurde inzwischen geschlossen und das Unternehmen führt eine eingehende Auswertung der Informationen durch.
Letzte Woche entdeckten die israelischen Sicherheitsforscher Noam Rotem und Ran Locar online eine größtenteils unverschlüsselte, öffentlich zugängliche Biostar-2-Datenbank. Die Datenbank umfasste Fingerabdrücke, Gesichtsscans, Benutzernamen und Passwörter sowie persönliche Informationen von über einer Million Menschen.
Biostar 2 ist ein vom Sicherheitsunternehmen Suprema entwickeltes biometrisches Schließsystem, das in das AEOS-Zutrittskontrollsystem integriert werden kann. Das AEOS wird zufällig in 83 Ländern weltweit und von 5.700 Organisationen eingesetzt, darunter Regierungen, Banken und die britische Metropolitan Police.
Rotem und Locar stießen während eines Nebenprojekts mit vpnmentor auf diese Datenbank, wo sie nach „Ports suchen“ suchten Sie können bekannte IP-Blöcke ausfindig machen und diese dann nutzen, um Lücken in den Systemen von Unternehmen zu finden, die möglicherweise zu Datenverlust führen könnten Verstöße.“
Nachdem das Paar die Datenbank von Biostar 2 gefunden hatte, konnten sie die Datenbank durchsuchen und URLs manipulieren, um Zugriff auf die Daten zu erhalten.
Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und Daten im Wert von 23 Gigabyte, darunter Admin-Panels, Dashboards, Fingerabdruckdaten und Gesichtsdaten Erkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle des Zugangs zu Einrichtungen, Sicherheitsstufen und -freigaben sowie persönliche Daten Angaben zum Personal.
Im Gespräch mit dem WächterLaut Rotem waren die meisten Benutzernamen und Passwörter unverschlüsselt und sie konnten auch Daten ändern und neue Benutzer zum System hinzufügen.
In dem Artikel über die Entdeckung, der dem Guardian vorgelegt wurde, bevor er am Mittwoch von vpnmentor veröffentlicht wurde, sagten die Forscher, sie hätten auf Daten von Co-Working zugreifen können Organisationen in den USA und Indonesien, eine Fitnessstudio-Kette in Indien und Pakistan, ein Arzneimittellieferant im Vereinigten Königreich und ein Parkplatzentwickler in Finnland Andere.
Was die Sache noch gefährlicher macht, ist die Tatsache, dass die Datenbank auch Fingerabdrücke von Menschen enthält, wie die Forscher darauf hinweisen. Das bedeutet, dass der Fingerabdruck kopiert und von anderen verwendet werden kann, anstatt einen Hash des Fingerabdrucks zu speichern, der nicht zurückentwickelt werden kann.
Rotem und Locar unternahmen mehrere Versuche, Suprema zu kontaktieren, bevor sie Ende letzter Woche ihr Papier an den Guardian schickten, und am Mittwochmorgen wurde die Schwachstelle behoben. Der Marketingleiter von Suprema, Andy Ahn, sagte dem Guardian, dass das Unternehmen eine „eingehende Auswertung“ der Informationen durchführe und:
Wenn eine konkrete Bedrohung für unsere Produkte und/oder Dienstleistungen vorliegt, werden wir sofort Maßnahmen ergreifen und entsprechende Ankündigungen machen, um die wertvollen Geschäfte und Vermögenswerte unserer Kunden zu schützen.
Wir alle haben die Nachrichten über Sicherheitsverletzungen gesehen, und höchstwahrscheinlich waren Sie in der Vergangenheit auch schon einmal Opfer einer solchen. Normalerweise müssen Sie Ihr Passwort ändern, aber wenn es um Ihre biometrischen Daten geht, können Sie nicht einfach Ihren Fingerabdruck oder Ihr Gesicht ändern.
Wie sicher ist die Gesichtserkennung beim Galaxy S10?