Što trebaš znati
- Dva izraelska sigurnosna istraživača otkrila su nekriptiranu Biostar 2 bazu podataka s 23 GB podataka
- U podatke su uključeni otisci prstiju, skeniranje lica, korisnička imena, lozinke i drugi osobni podaci više od milijun ljudi.
- Ranjivost je sada zatvorena i tvrtka radi detaljnu procjenu informacija.
Prošli tjedan, izraelski sigurnosni istraživači Noam Rotem i Ran Locar otkrili su uglavnom nekriptiranu javno dostupnu Biostar 2 bazu podataka online. Baza podataka je uključivala otiske prstiju, skeniranje lica, korisnička imena i lozinke te osobne podatke više od milijun ljudi.
Biostar 2 je biometrijski sustav zaključavanja razvijen od strane sigurnosne tvrtke Suprema koji se integrira sa AEOS sustavom kontrole pristupa. Slučajno se AEOS koristi u 83 zemlje diljem svijeta i 5700 organizacija, uključujući vlade, banke i metropolitansku policiju Ujedinjenog Kraljevstva.
Rotem i Locar naišli su na ovu bazu podataka tijekom sporednog projekta s vpnmentorom gdje skeniraju "portove tražeći poznate IP blokove, a zatim pomoću tih blokova pronađite rupe u sustavima tvrtki koje bi potencijalno mogle dovesti do podataka kršenja."
Nakon što je par pronašao bazu podataka Biostar 2, mogli su pretraživati bazu podataka i manipulirati URL-ovima kako bi dobili pristup podacima.
Govoreći s Čuvar, Rotem je rekao da je većina korisničkih imena i lozinki bila nekriptirana te da su također mogli promijeniti podatke i dodati nove korisnike u sustav.
Ono što ovo čini još opasnijim je to što su istraživači istaknuli da baza podataka uključuje otiske prstiju ljudi. To znači da se otisak prsta može kopirati i koristiti od strane drugih, umjesto pohranjivanja hash-a otiska prsta koji se ne može obrnutim inženjeringom.
Rotem i Locar su nekoliko puta pokušali kontaktirati Supremu prije nego što su poslali svoj rad Guardianu krajem prošlog tjedna, a od srijede ujutro ranjivost je popravljena. Šef marketinga u Supremi, Andy Ahn, rekao je Guardianu da tvrtka radi "dubinsku procjenu" informacija i:
Svi smo vidjeli vijesti o sigurnosnim upadima, a vrlo je vjerojatno da ste i vi bili žrtva jednog od njih u prošlosti. Obično je potrebno promijeniti lozinku, ali kada su u pitanju vaši biometrijski podaci, ne možete samo promijeniti otisak prsta ili lice.
Koliko je sigurno prepoznavanje lica na Galaxy S10?