Vad du behöver veta
- Två israeliska säkerhetsforskare upptäckte en okrypterad Biostar 2-databas med 23 GB data
- Inkluderat i uppgifterna var fingeravtryck, ansiktsskanningar, användarnamn, lösenord och annan personlig information från över 1 miljon människor.
- Sårbarheten är nu stängd och företaget gör en djupgående utvärdering av informationen.
Förra veckan upptäckte de israeliska säkerhetsforskarna Noam Rotem och Ran Locar en mestadels okrypterad allmänt tillgänglig Biostar 2-databas online. Databasen innehöll fingeravtryck, ansiktsskanningar, användarnamn och lösenord och personlig information om över 1 miljon människor.
Biostar 2 är ett biometriskt låssystem utvecklat av säkerhetsföretaget Suprema som integreras med passersystemet AEOS. AEOS råkar bara användas i 83 länder över hela världen och 5 700 organisationer, inklusive regeringar, banker och den brittiska storstadspolisen.
Rotem och Locar råkade ut för denna databas under ett sidoprojekt med vpnmentor där de skannar "portar som letar efter bekanta IP-block, och använd sedan dessa block för att hitta hål i företags system som potentiellt kan leda till data överträdelser."
Efter att paret hittat Biostar 2:s databas kunde de söka i databasen och manipulera webbadresser för att få tillgång till data.
Forskarna hade tillgång till över 27,8 miljoner poster och 23 gigabyte data inklusive adminpaneler, instrumentpaneler, fingeravtrycksdata, ansiktsbehandling igenkänningsdata, ansiktsfoton på användare, okrypterade användarnamn och lösenord, loggar över tillgång till anläggningar, säkerhetsnivåer och tillstånd samt personliga uppgifter om personal.
Att prata med väktare, sade Rotem att de flesta användarnamn och lösenord var okrypterade och att de också kunde ändra data och lägga till nya användare i systemet.
I tidningen om upptäckten som gavs till Guardian innan den publicerades av vpnmentor på onsdagen, sa forskarna att de kunde komma åt data från co-working organisationer i USA och Indonesien, en gymkedja i Indien och Pakistan, en läkemedelsleverantör i Storbritannien och en bilparkeringsutvecklare i Finland, bland annat andra.
Det som gör detta ännu farligare är att forskarna påpekade att databasen innehåller människors fingeravtryck. Det betyder att fingeravtrycket kan kopieras och användas av andra, istället för att lagra en hash av fingeravtrycket som inte kan omvändas.
Rotem och Locar gjorde flera försök att kontakta Suprema innan de skickade sin tidning till Guardian i slutet av förra veckan, och från onsdagsmorgonen har sårbarheten åtgärdats. Marknadschefen på Suprema, Andy Ahn, sa till Guardian att företaget gör en "djupgående utvärdering" av informationen och:
Om det har förekommit något definitivt hot mot våra produkter och/eller tjänster kommer vi att vidta omedelbara åtgärder och göra lämpliga meddelanden för att skydda våra kunders värdefulla verksamheter och tillgångar.
Vi har alla sett nyheterna om säkerhetsintrång, och mer än troligt har du varit offer för en av dessa tidigare. Det kräver vanligtvis att du ändrar ditt lösenord, men när det kommer till dina biometriska data kan du inte bara ändra ditt fingeravtryck eller ansikte.
Hur säker är ansiktsigenkänningen på Galaxy S10?