Odhalena chyba v biometrickém systému Biostar 2, uniknout mohlo 28 milionů záznamů

21. 8. 2019

Sdílet

 Autor: Accenture
Otisky prstů více než milionu lidí, stejně jako data o jejich identifikaci obličeje, nezašifrovaná přihlašovací jména a hesla a osobní informace zaměstnanců byly nalezeny ve veřejně přístupné databázi společnosti, kterou využívají takové organizace jako je britská policie, soukromé bezpečnostní agentury nebo banky.

Suprema je bezpečnostní firma, která je zodpovědná za biometrický bezpečnostní systém Biostar 2. Ten umožňuje centralizovanou správu přístupu u důležitých prostor, jakými jsou třeba sklady nebo kancelářské budovy, píše Guardian. Biostar 2 využívá mj. otisky prstů a rozpoznávání obličeje, které jsou součástí celkového systému.

Minulý měsíc Suprema oznámila integraci své platformy do kontrolního systému AEOS, který využívá 5 700 organizací v 83 zemích.

Izraelští bezpečnostní výzkumníci Noam Roten a Ran Locar, spolupracující se službou vpnmentor, hledají jako vedlejší projekt známé IP blokace v portech a skrze tyto blokace následně vyhledávají díry v systémech, které by mohly být využity k úniku dat.

Minulý týden tito výzkumníci objevili, že databáze Biostar 2 je prakticky nezabezpečená a z většiny nezašifrovaná. Byli schopni v databázi vyhledávat pomocí manipulace s URL v Elasticsearch.

Výzkumníci tak získali přístup k více než 27,8 milionům záznamů a 23 gigabytům dat včetně různých ovládacích panelů, biometrických dat, fotografií, nezašifrovaných přihlašovacích údajů včetně hesel, záznamů, úrovní bezpečnostního oprávnění a osobních údajů zaměstnanců. Většina nebyla zašifrovaná.

„Nalezli jsme hesla k administrátorským účtům ve strojově čitelném formátu,“ sdělil Rotem Guardianu.

Izraelští výzkumníci byli také schopni data měnit nebo přidávat nové uživatele.

Jedná se o obří bezpečnostní chybu a chování společnosti je v tomto případě neodpustitelné – místo hashe otisku prstu ukládají do databáze reálné záznamy otisků, které lze následně zneužít. Výzkumníci se několikrát pokusili firmu Suprema kontaktovat, za celou dobu jim však neodpověla.

bitcoin školení listopad 24

V současné době už je však, zdá se, chyba opravena. Podle šéfa marketingu firmy, který na dotazy Guardianu reagoval, se firma chybou zabývá a upozorní zákazníky, pokud by jim hrozilo zneužití informací.

Zranitelnosti v dodavatelském řetězci u třetích stran jsou bohužel velmi časté – Rotem takto kontaktujte tři nebo čtyři firmy každý týden, byť tentokrát byla zranitelnost opravdu masivní.