Apa yang perlu Anda ketahui
- Dua peneliti keamanan Israel menemukan database Biostar 2 yang tidak terenkripsi dengan data senilai 23 GB
- Termasuk dalam data adalah sidik jari, pemindaian wajah, nama pengguna, kata sandi, dan informasi pribadi lainnya dari lebih dari 1 juta orang.
- Kerentanan tersebut kini telah ditutup dan perusahaan sedang melakukan evaluasi mendalam terhadap informasi tersebut.
Pekan lalu, peneliti keamanan Israel Noam Rotem dan Ran Locar menemukan database online Biostar 2 yang sebagian besar tidak terenkripsi dan dapat diakses publik. Basis data mencakup sidik jari, pemindaian wajah, nama pengguna dan kata sandi, dan informasi pribadi lebih dari 1 juta orang.
Biostar 2 adalah sistem kunci biometrik yang dikembangkan oleh perusahaan keamanan Suprema yang terintegrasi dengan sistem kontrol akses AEOS. AEOS kebetulan digunakan di 83 negara di seluruh dunia dan 5.700 organisasi, termasuk pemerintah, bank, dan Polisi Metropolitan Inggris.
Rotem dan Locar terjadi pada database ini selama proyek sampingan dengan vpnmentor di mana mereka memindai "pencarian porta blok IP yang sudah dikenal, lalu gunakan blok ini untuk menemukan lubang di sistem perusahaan yang berpotensi menghasilkan data pelanggaran."
Setelah pasangan menemukan database Biostar 2, mereka dapat mencari database dan memanipulasi URL untuk mendapatkan akses ke data.
Para peneliti memiliki akses ke lebih dari 27,8 juta catatan, dan data senilai 23 gigabita termasuk panel admin, dasbor, data sidik jari, wajah data pengenalan, foto wajah pengguna, nama pengguna dan kata sandi yang tidak dienkripsi, log akses fasilitas, tingkat keamanan dan izin, dan data pribadi rincian staf.
Berbicara kepada Wali, Rotem mengatakan sebagian besar nama pengguna dan kata sandi tidak terenkripsi dan mereka juga dapat mengubah data dan menambahkan pengguna baru ke dalam sistem.
Dalam makalah tentang penemuan yang diberikan kepada Guardian sebelum diterbitkan oleh vpnmentor pada hari Rabu, para peneliti mengatakan bahwa mereka dapat mengakses data dari rekan kerja organisasi di AS dan Indonesia, rantai gym di India dan Pakistan, pemasok obat-obatan di Inggris Raya, dan pengembang tempat parkir mobil di Finlandia, di antaranya yang lain.
Apa yang membuat ini lebih berbahaya, adalah para peneliti menunjukkan bahwa database termasuk sidik jari orang. Itu berarti sidik jari dapat disalin dan digunakan oleh orang lain, alih-alih menyimpan potongan sidik jari yang tidak dapat direkayasa ulang.
Rotem dan Locar melakukan beberapa upaya untuk menghubungi Suprema sebelum mengirimkan surat mereka ke Guardian akhir pekan lalu, dan pada Rabu pagi, kerentanan telah diperbaiki. Kepala pemasaran di Suprema, Andy Ahn, mengatakan kepada Guardian bahwa perusahaan sedang melakukan "evaluasi mendalam" terhadap informasi tersebut dan:
Jika ada ancaman yang pasti pada produk dan/atau layanan kami, kami akan mengambil tindakan segera dan membuat pengumuman yang sesuai untuk melindungi bisnis dan aset berharga pelanggan kami.
Kita semua pernah melihat berita tentang pelanggaran keamanan, dan kemungkinan besar Anda pernah menjadi korban salah satunya di masa lalu. Biasanya Anda harus mengubah kata sandi, tetapi terkait dengan data biometrik, Anda tidak bisa hanya mengubah sidik jari atau wajah.
Seberapa aman pengenalan wajah di Galaxy S10?