Sadržaj:
Što trebaš znati
- Dva izraelska istraživača sigurnosti otkrila su nešifriranu bazu podataka Biostar 2 s podacima vrijednim 23 GB
- U podatke su uključeni otisci prstiju, skeniranje lica, korisnička imena, lozinke i drugi osobni podaci preko 1 milijuna ljudi.
- Ranjivost je sada zatvorena i tvrtka vrši dubinsku procjenu informacija.
Prošli tjedan izraelski istraživači sigurnosti Noam Rotem i Ran Locar otkrili su uglavnom nešifriranu javno dostupnu bazu podataka Biostar 2 na mreži. Baza je sadržavala otiske prstiju, skeniranje lica, korisnička imena i lozinke i osobne podatke preko 1 milijuna ljudi.
Biostar 2 je biometrijski sustav zaključavanja koji je razvila zaštitarska tvrtka Suprema koji se integrira sa AEOS sustavom kontrole pristupa. Upravo se AEOS koristi u 83 zemlje širom svijeta i 5.700 organizacija, uključujući vlade, banke i britansku metropolitansku policiju.
Rotem i Locar dogodili su se s ovom bazom podataka tijekom sporednog projekta s vpnmentor-om gdje skeniraju "portove u potrazi za poznatim IP blokovima, a zatim pomoću tih blokova pronalaze rupe u sustavima tvrtki koje bi mogle potencijalno dovesti do kršenja podataka."
Nakon što je par pronašao bazu podataka Biostar 2, mogli su pretraživati bazu podataka i manipulirati URL-ovima kako bi dobili pristup podacima.
Istraživači su imali pristup preko 27, 8 milijuna zapisa i podacima vrijednim 23 gigabajta, uključujući administracijske ploče, nadzorne ploče, podatke o otiscima prstiju, podatke o prepoznavanju lica, fotografije lica korisnika, nešifrirana korisnička imena i lozinke, zapise pristupa objektu, razine sigurnosti i odobrenja, i osobne podatke o osoblju.
U razgovoru za Guardian, Rotem je rekao da je većina korisničkih imena i lozinki nešifrirana te su mogli mijenjati podatke i dodavati nove korisnike u sustav.
U radu o otkriću koje je Guardianu dostavljeno prije nego što ga je vpnmentor objavio u srijedu, istraživači su rekli kako su mogli pristupiti podacima suradničkih organizacija u SAD-u i Indoneziji, lancu teretana u Indiji i Pakistanu, dobavljaču lijekova u Ujedinjeno Kraljevstvo i među ostalim graditelj parkirnih mjesta u Finskoj.
Što ovo čini još opasnijim, istraživači su istakli kako baza podataka uključuje otiske prstiju ljudi. To znači da otisak prsta mogu kopirati i koristiti drugi, umjesto da pohranjuju hash s otiskom prsta koji se ne može obrnuti.
Rotem i Locar pokušali su kontaktirati Suprema prije nego što su krajem prošlog tjedna poslali svoj papir Guardianu, a već u srijedu ujutro ranjivost je riješena. Šef marketinga u Supremi, Andy Ahn, rekao je za Guardian da tvrtka vrši "detaljnu procjenu" informacija i:
Ako postoji bilo kakva prijetnja našim proizvodima i / ili uslugama, odmah ćemo poduzeti korake i uputiti odgovarajuće najave kako bismo zaštitili vrijedne tvrtke i imovinu naših kupaca.
Svi smo vidjeli vijesti o kršenjima sigurnosti, i više nego vjerojatno da ste bili žrtva jednog od tih u prošlosti. Obično zahtijeva od vas da promijenite zaporku, ali kad su u pitanju vaši biometrijski podaci, ne možete jednostavno promijeniti otisak prsta ili lice.
Koliko je sigurno prepoznavanje lica na Galaxy S10?
