Wat je moet weten
- Twee Israëlische beveiligingsonderzoekers ontdekten een niet-versleutelde Biostar 2-database met 23 GB aan gegevens
- Inbegrepen in de gegevens waren vingerafdrukken, gezichtsscans, gebruikersnamen, wachtwoorden en andere persoonlijke informatie van meer dan 1 miljoen mensen.
- De kwetsbaarheid is nu gesloten en het bedrijf voert een diepgaande evaluatie van de informatie uit.
Vorige week ontdekten de Israëlische beveiligingsonderzoekers Noam Rotem en Ran Locar online een grotendeels niet-versleutelde, openbaar toegankelijke Biostar 2-database. De database bevatte vingerafdrukken, gezichtsscans, gebruikersnamen en wachtwoorden en persoonlijke informatie van meer dan 1 miljoen mensen.
Biostar 2 is een biometrisch sluitsysteem ontwikkeld door het beveiligingsbedrijf Suprema dat kan worden geïntegreerd met het AEOS-toegangscontrolesysteem. De AEOS wordt toevallig gebruikt in 83 landen wereldwijd en 5.700 organisaties, waaronder overheden, banken en de Britse Metropolitan Police.
Rotem en Locar kwamen deze database tegen tijdens een zijproject met vpnmentor waar ze "poorten zoeken naar bekende IP-blokken, en gebruik deze blokken vervolgens om gaten in de systemen van bedrijven te vinden die mogelijk naar gegevens kunnen leiden inbreuken."
Nadat het paar de database van Biostar 2 had gevonden, konden ze de database doorzoeken en URL's manipuleren om toegang te krijgen tot de gegevens.
De onderzoekers hadden toegang tot meer dan 27,8 miljoen records en 23 gigabyte aan gegevens, waaronder admin-panelen, dashboards, vingerafdrukgegevens, herkenningsgegevens, gezichtsfoto's van gebruikers, niet-versleutelde gebruikersnamen en wachtwoorden, logboeken van toegang tot faciliteiten, beveiligingsniveaus en toestemming, en persoonlijke gegevens van het personeel.
In gesprek met de Voogd, zei Rotem dat de meeste gebruikersnamen en wachtwoorden niet versleuteld waren en dat ze ook gegevens konden wijzigen en nieuwe gebruikers aan het systeem konden toevoegen.
In de krant over de ontdekking die aan de Guardian werd verstrekt voordat deze woensdag door vpnmentor werd gepubliceerd, zeiden de onderzoekers dat ze toegang hadden tot gegevens van co-working organisaties in de VS en Indonesië, een sportschoolketen in India en Pakistan, een medicijnleverancier in het Verenigd Koninkrijk en een ontwikkelaar van parkeerplaatsen in Finland, onder andere anderen.
Wat dit nog gevaarlijker maakt, is dat de onderzoekers erop wezen dat de database vingerafdrukken van mensen bevat. Dat betekent dat de vingerafdruk kan worden gekopieerd en door anderen kan worden gebruikt, in plaats van een hash van de vingerafdruk op te slaan die niet kan worden teruggedraaid.
Rotem en Locar hebben meerdere pogingen ondernomen om contact op te nemen met Suprema voordat ze eind vorige week hun paper naar de Guardian stuurden, en vanaf woensdagochtend is de kwetsbaarheid verholpen. Het hoofd marketing bij Suprema, Andy Ahn, vertelde de Guardian dat het bedrijf bezig is met een "diepgaande evaluatie" van de informatie en:
Als er een duidelijke bedreiging is geweest voor onze producten en/of diensten, zullen we onmiddellijk actie ondernemen en passende aankondigingen doen om de waardevolle bedrijven en activa van onze klanten te beschermen.
We hebben allemaal de nieuwsberichten over beveiligingsinbreuken gezien en meer dan waarschijnlijk bent u in het verleden het slachtoffer geweest van een van deze inbreuken. Meestal moet u uw wachtwoord wijzigen, maar als het om uw biometrische gegevens gaat, kunt u niet zomaar uw vingerafdruk of gezicht wijzigen.
Hoe veilig is de gezichtsherkenning op de Galaxy S10?