Ne bilmek istiyorsun
- İki İsrailli güvenlik araştırmacısı, 23 GB değerinde veri içeren şifrelenmemiş bir Biostar 2 veritabanı keşfetti
- Veriler arasında 1 milyondan fazla kişinin parmak izleri, yüz taramaları, kullanıcı adları, şifreleri ve diğer kişisel bilgileri yer alıyordu.
- Güvenlik açığı artık kapatıldı ve şirket, bilgilerin derinlemesine bir değerlendirmesini yapıyor.
Geçen hafta, İsrailli güvenlik araştırmacıları Noam Rotem ve Ran Locar, çoğunlukla şifrelenmemiş, halka açık bir çevrimiçi Biostar 2 veritabanı keşfettiler. Veritabanı, 1 milyondan fazla kişinin parmak izlerini, yüz taramalarını, kullanıcı adlarını ve şifrelerini ve kişisel bilgilerini içeriyordu.
Biostar 2, güvenlik şirketi Suprema tarafından geliştirilen ve AEOS erişim kontrol sistemi ile entegre olan bir biyometrik kilit sistemidir. AEOS dünya çapında 83 ülkede ve hükümetler, bankalar ve Birleşik Krallık Büyükşehir Polisi dahil olmak üzere 5.700 kuruluşta kullanılıyor.
Rotem ve Locar, vpnmentor ile bir yan proje sırasında bu veritabanına rastladılar ve burada "bağlantı noktalarını" aradılar. tanıdık IP blokları ve ardından bu blokları şirketlerin sistemlerinde potansiyel olarak verilere yol açabilecek delikler bulmak için kullanın ihlaller."
Çift, Biostar 2'nin veritabanını bulduktan sonra, veritabanında arama yapabildiler ve verilere erişmek için URL'leri değiştirebildiler.
Araştırmacılar 27,8 milyondan fazla kayda ve yönetici panelleri, panolar, parmak izi verileri, yüz tanıma verileri, kullanıcıların yüz fotoğrafları, şifrelenmemiş kullanıcı adları ve parolalar, tesis erişimi günlükleri, güvenlik seviyeleri ve izni ve kişisel personelin detayları.
ile konuşmak Muhafız, Rotem, kullanıcı adlarının ve şifrelerin çoğunun şifrelenmemiş olduğunu ve ayrıca verileri değiştirip sisteme yeni kullanıcılar ekleyebildiklerini söyledi.
Çarşamba günü vpnmentor tarafından yayınlanmadan önce Guardian'a sağlanan keşifle ilgili makalede, araştırmacılar ortak çalışmadan verilere erişebildiklerini söyledi. ABD ve Endonezya'daki kuruluşlar, Hindistan ve Pakistan'da bir spor salonu zinciri, Birleşik Krallık'ta bir ilaç tedarikçisi ve Finlandiya'da bir otopark alanı geliştiricisi arasında diğerleri.
Bunu daha da tehlikeli kılan ise, araştırmacıların veri tabanında insanların parmak izlerinin yer aldığına dikkat çekmeleri. Bu, tersine mühendislik uygulanamayacak bir parmak izinin bir karmasını depolamak yerine, parmak izinin kopyalanabileceği ve başkaları tarafından kullanılabileceği anlamına gelir.
Rotem ve Locar, makalelerini geçen hafta Guardian'a göndermeden önce Suprema ile bağlantı kurmak için birçok girişimde bulundular ve Çarşamba sabahı itibarıyla güvenlik açığı düzeltildi. Suprema'nın pazarlama başkanı Andy Ahn, Guardian'a şirketin bilgileri "derinlemesine bir değerlendirme" yaptığını söyledi ve:
Ürünlerimiz ve/veya hizmetlerimiz üzerinde herhangi bir kesin tehdit olması durumunda, müşterilerimizin değerli işletmelerini ve varlıklarını korumak için derhal harekete geçecek ve uygun duyuruları yapacağız.
Güvenlik ihlalleriyle ilgili haberleri hepimiz gördük ve büyük olasılıkla geçmişte bunlardan birinin kurbanı oldunuz. Genellikle şifrenizi değiştirmenizi gerektirir, ancak biyometrik verileriniz söz konusu olduğunda, sadece parmak izinizi veya yüzünüzü değiştiremezsiniz.
Galaxy S10'daki yüz tanıma ne kadar güvenli?