Što trebaš znati
- Dva izraelska sigurnosna istraživača otkrila su nekriptiranu Biostar 2 bazu podataka s 23 GB podataka
- U podatke su uključeni otisci prstiju, skeniranje lica, korisnička imena, lozinke i drugi osobni podaci više od milijun ljudi.
- Ranjivost je sada zatvorena i tvrtka radi detaljnu procjenu informacija.
Prošli tjedan, izraelski sigurnosni istraživači Noam Rotem i Ran Locar otkrili su uglavnom nekriptiranu javno dostupnu Biostar 2 bazu podataka online. Baza podataka je uključivala otiske prstiju, skeniranje lica, korisnička imena i lozinke te osobne podatke više od milijun ljudi.
Biostar 2 je biometrijski sustav zaključavanja razvijen od strane sigurnosne tvrtke Suprema koji se integrira sa AEOS sustavom kontrole pristupa. Slučajno se AEOS koristi u 83 zemlje diljem svijeta i 5700 organizacija, uključujući vlade, banke i metropolitansku policiju Ujedinjenog Kraljevstva.
Rotem i Locar naišli su na ovu bazu podataka tijekom sporednog projekta s vpnmentorom gdje skeniraju "portove tražeći poznate IP blokove, a zatim pomoću tih blokova pronađite rupe u sustavima tvrtki koje bi potencijalno mogle dovesti do podataka kršenja."
Nakon što je par pronašao bazu podataka Biostar 2, mogli su pretraživati bazu podataka i manipulirati URL-ovima kako bi dobili pristup podacima.
Istraživači su imali pristup više od 27,8 milijuna zapisa i podacima u vrijednosti od 23 gigabajta, uključujući administratorske ploče, nadzorne ploče, podatke o otiscima prstiju, podatke o licu podaci o prepoznavanju, fotografije lica korisnika, nešifrirana korisnička imena i lozinke, zapisnici pristupa objektu, razine sigurnosti i dopuštenja te osobni pojedinosti o osoblju.
Govoreći s Čuvar, Rotem je rekao da je većina korisničkih imena i lozinki bila nekriptirana te da su također mogli promijeniti podatke i dodati nove korisnike u sustav.
U članku o otkriću koji je dostavljen Guardianu prije nego što ga je vpnmentor objavio u srijedu, istraživači su rekli da su mogli pristupiti podacima iz co-workinga organizacije u SAD-u i Indoneziji, lanac teretana u Indiji i Pakistanu, dobavljač lijekova u Ujedinjenom Kraljevstvu i programer prostora za parkiranje automobila u Finskoj, među drugi.
Ono što ovo čini još opasnijim je to što su istraživači istaknuli da baza podataka uključuje otiske prstiju ljudi. To znači da se otisak prsta može kopirati i koristiti od strane drugih, umjesto pohranjivanja hash-a otiska prsta koji se ne može obrnutim inženjeringom.
Rotem i Locar su nekoliko puta pokušali kontaktirati Supremu prije nego što su poslali svoj rad Guardianu krajem prošlog tjedna, a od srijede ujutro ranjivost je popravljena. Šef marketinga u Supremi, Andy Ahn, rekao je Guardianu da tvrtka radi "dubinsku procjenu" informacija i:
Ako postoji bilo kakva definitivna prijetnja našim proizvodima i/ili uslugama, odmah ćemo poduzeti mjere i objaviti odgovarajuće najave kako bismo zaštitili vrijedne poslove i imovinu naših kupaca.
Svi smo vidjeli vijesti o sigurnosnim upadima, a vrlo je vjerojatno da ste i vi bili žrtva jednog od njih u prošlosti. Obično je potrebno promijeniti lozinku, ali kada su u pitanju vaši biometrijski podaci, ne možete samo promijeniti otisak prsta ili lice.
Koliko je sigurno prepoznavanje lica na Galaxy S10?