Odhalena chyba v biometrickém systému Biostar 2, uniknout mohlo 28 milionů záznamů

Otisky prstů více než milionu lidí, stejně jako data o jejich identifikaci obličeje, nezašifrovaná přihlašovací jména a hesla a osobní informace zaměstnanců byly nalezeny ve veřejně přístupné databázi společnosti, kterou využívají takové organizace jako je britská policie, soukromé bezpečnostní agentury nebo banky.

Odhalena chyba v biometrickém systému Biostar 2, uniknout mohlo 28 milionů záznamů


Suprema je bezpečnostní firma, která je zodpovědná za biometrický bezpečnostní systém Biostar 2. Ten umožňuje centralizovanou správu přístupu u důležitých prostor, jakými jsou třeba sklady nebo kancelářské budovy, píše Guardian. Biostar 2 využívá mj. otisky prstů a rozpoznávání obličeje, které jsou součástí celkového systému.

Minulý měsíc Suprema oznámila integraci své platformy do kontrolního systému AEOS, který využívá 5 700 organizací v 83 zemích.

Izraelští bezpečnostní výzkumníci Noam Roten a Ran Locar, spolupracující se službou vpnmentor, hledají jako vedlejší projekt známé IP blokace v portech a skrze tyto blokace následně vyhledávají díry v systémech, které by mohly být využity k úniku dat.

Minulý týden tito výzkumníci objevili, že databáze Biostar 2 je prakticky nezabezpečená a z většiny nezašifrovaná. Byli schopni v databázi vyhledávat pomocí manipulace s URL v Elasticsearch.

Výzkumníci tak získali přístup k více než 27,8 milionům záznamů a 23 gigabytům dat včetně různých ovládacích panelů, biometrických dat, fotografií, nezašifrovaných přihlašovacích údajů včetně hesel, záznamů, úrovní bezpečnostního oprávnění a osobních údajů zaměstnanců. Většina nebyla zašifrovaná.

„Nalezli jsme hesla k administrátorským účtům ve strojově čitelném formátu,“ sdělil Rotem Guardianu.

Izraelští výzkumníci byli také schopni data měnit nebo přidávat nové uživatele.

Jedná se o obří bezpečnostní chybu a chování společnosti je v tomto případě neodpustitelné – místo hashe otisku prstu ukládají do databáze reálné záznamy otisků, které lze následně zneužít. Výzkumníci se několikrát pokusili firmu Suprema kontaktovat, za celou dobu jim však neodpověla.

V současné době už je však, zdá se, chyba opravena. Podle šéfa marketingu firmy, který na dotazy Guardianu reagoval, se firma chybou zabývá a upozorní zákazníky, pokud by jim hrozilo zneužití informací.

Zranitelnosti v dodavatelském řetězci u třetích stran jsou bohužel velmi časté – Rotem takto kontaktujte tři nebo čtyři firmy každý týden, byť tentokrát byla zranitelnost opravdu masivní.

Úvodní foto: Accenture










Komentáře