Kaj morate vedeti
- Dva izraelska varnostna raziskovalca sta odkrila nešifrirano zbirko podatkov Biostar 2 s 23 GB podatkov
- Med podatki so bili prstni odtisi, posnetki obraza, uporabniška imena, gesla in drugi osebni podatki več kot milijona ljudi.
- Ranljivost je zdaj zaprta in podjetje izvaja poglobljeno oceno informacij.
Prejšnji teden sta izraelska varnostna raziskovalca Noam Rotem in Ran Locar na spletu odkrila večinoma nešifrirano javno dostopno zbirko podatkov Biostar 2. Baza podatkov je vključevala prstne odtise, skeniranje obraza, uporabniška imena in gesla ter osebne podatke več kot milijona ljudi.
Biostar 2 je biometrični sistem zaklepanja, ki ga je razvilo varnostno podjetje Suprema in se integrira s sistemom za nadzor dostopa AEOS. AEOS se uporablja v 83 državah po vsem svetu in 5700 organizacijah, vključno z vladami, bankami in metropolitansko policijo Združenega kraljestva.
Rotem in Locar sta naletela na to bazo podatkov med stranskim projektom z vpnmentorjem, kjer sta skenirala "vrata in iskala znane bloke IP, nato pa te bloke uporabite za iskanje lukenj v sistemih podjetij, ki bi lahko vodile do podatkov kršitve."
Potem ko je par našel bazo podatkov Biostar 2, sta lahko preiskala bazo podatkov in manipulirala z URL-ji, da bi pridobila dostop do podatkov.
Raziskovalci so imeli dostop do več kot 27,8 milijona zapisov in 23 gigabajtov podatkov, vključno s skrbniškimi ploščami, nadzornimi ploščami, podatki o prstnih odtisih, obraznih podatki o prepoznavanju, fotografije obrazov uporabnikov, nešifrirana uporabniška imena in gesla, dnevniki dostopa do objektov, ravni varnosti in dovoljenja ter osebni podrobnosti o osebju.
V pogovoru z Varuh, je Rotem dejal, da je večina uporabniških imen in gesel nešifriranih in da so lahko tudi spremenili podatke in dodali nove uporabnike v sistem.
V članku o odkritju, ki so ga posredovali Guardianu, preden ga je v sredo objavil vpnmentor, so raziskovalci povedali, da so lahko dostopali do podatkov iz co-workinga. organizacije v ZDA in Indoneziji, veriga telovadnic v Indiji in Pakistanu, dobavitelj zdravil v Združenem kraljestvu in razvijalec parkirnih mest na Finskem, med drugi.
Kar je to še bolj nevarno, je to, da so raziskovalci poudarili, da zbirka podatkov vključuje prstne odtise ljudi. To pomeni, da lahko prstni odtis kopirajo in uporabljajo drugi, namesto da bi shranili zgoščeno vrednost prstnega odtisa, ki ga ni mogoče obdelati z obratnim inženiringom.
Rotem in Locar sta večkrat poskušala stopiti v stik s Supremo, preden sta konec prejšnjega tedna svoj članek poslala Guardianu, in od srede zjutraj je bila ranljivost odpravljena. Vodja trženja pri Supremi Andy Ahn je za Guardian povedal, da podjetje izvaja "poglobljeno oceno" informacij in:
Če je prišlo do kakršne koli nedvoumne grožnje našim izdelkom in/ali storitvam, bomo nemudoma ukrepali in ustrezno objavili, da zaščitimo dragocena podjetja in sredstva naših strank.
Vsi smo videli novice o kršitvah varnosti in več kot verjetno ste bili žrtev enega od teh v preteklosti. Običajno zahteva spremembo gesla, ko pa gre za vaše biometrične podatke, ne morete spremeniti samo prstnega odtisa ali obraza.
Kako varno je prepoznavanje obraza na Galaxy S10?