Vad du behöver veta
- Två israeliska säkerhetsforskare upptäckte en okrypterad Biostar 2-databas med 23 GB data
- Inkluderat i uppgifterna var fingeravtryck, ansiktsskanningar, användarnamn, lösenord och annan personlig information från över 1 miljon människor.
- Sårbarheten är nu stängd och företaget gör en djupgående utvärdering av informationen.
Förra veckan upptäckte de israeliska säkerhetsforskarna Noam Rotem och Ran Locar en mestadels okrypterad allmänt tillgänglig Biostar 2-databas online. Databasen innehöll fingeravtryck, ansiktsskanningar, användarnamn och lösenord och personlig information om över 1 miljon människor.
Biostar 2 är ett biometriskt låssystem utvecklat av säkerhetsföretaget Suprema som integreras med passersystemet AEOS. AEOS råkar bara användas i 83 länder över hela världen och 5 700 organisationer, inklusive regeringar, banker och den brittiska storstadspolisen.
Rotem och Locar råkade ut för denna databas under ett sidoprojekt med vpnmentor där de skannar "portar som letar efter bekanta IP-block, och använd sedan dessa block för att hitta hål i företags system som potentiellt kan leda till data överträdelser."
Efter att paret hittat Biostar 2:s databas kunde de söka i databasen och manipulera webbadresser för att få tillgång till data.
Att prata med väktare, sade Rotem att de flesta användarnamn och lösenord var okrypterade och att de också kunde ändra data och lägga till nya användare i systemet.
Det som gör detta ännu farligare är att forskarna påpekade att databasen innehåller människors fingeravtryck. Det betyder att fingeravtrycket kan kopieras och användas av andra, istället för att lagra en hash av fingeravtrycket som inte kan omvändas.
Rotem och Locar gjorde flera försök att kontakta Suprema innan de skickade sin tidning till Guardian i slutet av förra veckan, och från onsdagsmorgonen har sårbarheten åtgärdats. Marknadschefen på Suprema, Andy Ahn, sa till Guardian att företaget gör en "djupgående utvärdering" av informationen och:
Vi har alla sett nyheterna om säkerhetsintrång, och mer än troligt har du varit offer för en av dessa tidigare. Det kräver vanligtvis att du ändrar ditt lösenord, men när det kommer till dina biometriska data kan du inte bara ändra ditt fingeravtryck eller ansikte.
Hur säker är ansiktsigenkänningen på Galaxy S10?