Suprema je bezpečnostní firma, která je zodpovědná za biometrický bezpečnostní systém Biostar 2. Ten umožňuje centralizovanou správu přístupu u důležitých prostor, jakými jsou třeba sklady nebo kancelářské budovy, píše Guardian. Biostar 2 využívá mj. otisky prstů a rozpoznávání obličeje, které jsou součástí celkového systému.
Minulý měsíc Suprema oznámila integraci své platformy do kontrolního systému AEOS, který využívá 5 700 organizací v 83 zemích.
Izraelští bezpečnostní výzkumníci Noam Roten a Ran Locar, spolupracující se službou vpnmentor, hledají jako vedlejší projekt známé IP blokace v portech a skrze tyto blokace následně vyhledávají díry v systémech, které by mohly být využity k úniku dat.
Minulý týden tito výzkumníci objevili, že databáze Biostar 2 je prakticky nezabezpečená a z většiny nezašifrovaná. Byli schopni v databázi vyhledávat pomocí manipulace s URL v Elasticsearch.
Výzkumníci tak získali přístup k více než 27,8 milionům záznamů a 23 gigabytům dat včetně různých ovládacích panelů, biometrických dat, fotografií, nezašifrovaných přihlašovacích údajů včetně hesel, záznamů, úrovní bezpečnostního oprávnění a osobních údajů zaměstnanců. Většina nebyla zašifrovaná.
„Nalezli jsme hesla k administrátorským účtům ve strojově čitelném formátu,“ sdělil Rotem Guardianu.
Izraelští výzkumníci byli také schopni data měnit nebo přidávat nové uživatele.
Jedná se o obří bezpečnostní chybu a chování společnosti je v tomto případě neodpustitelné – místo hashe otisku prstu ukládají do databáze reálné záznamy otisků, které lze následně zneužít. Výzkumníci se několikrát pokusili firmu Suprema kontaktovat, za celou dobu jim však neodpověla.
V současné době už je však, zdá se, chyba opravena. Podle šéfa marketingu firmy, který na dotazy Guardianu reagoval, se firma chybou zabývá a upozorní zákazníky, pokud by jim hrozilo zneužití informací.
Zranitelnosti v dodavatelském řetězci u třetích stran jsou bohužel velmi časté – Rotem takto kontaktujte tři nebo čtyři firmy každý týden, byť tentokrát byla zranitelnost opravdu masivní.
PŘEDPLATNÉ
ČLÁNKY DO MAILU