V biometrickém systému Biostar 2 byla odhalena obří chyba

BioStar 2

Otisky prstů více než milionu lidí, stejně jako data o jejich identifikaci obličeje, nezašifrovaná přihlašovací jména a hesla a osobní informace zaměstnanců byly nalezeny ve veřejně přístupné databázi společnosti, kterou využívají takové organizace jako je britská policie, soukromé bezpečnostní agentury nebo banky.

Suprema je bezpečnostní firma zodpovědná za biometrický bezpečnostní systém Biostar 2, který umožňuje centralizovanou správu přístupu u důležitých prostor, jakými jsou třeba sklady nebo kancelářské budovy. Biostar 2 využívá např. otisky prstů a rozpoznávání obličeje, které jsou součástí celkového systému.

Nedávno Suprema oznámila integraci své platformy do kontrolního systému AEOS, který využívá 5700 organizací v 83 zemích.

Izraelští bezpečnostní výzkumníci Noam Rotem a Ran Locar, spolupracující se službou vpnmentor, hledají jako vedlejší projekt známé IP blokace v portech a skrze tyto blokace následně vyhledávají díry v systémech, které by mohly být využity k úniku dat. Minulý týden tito výzkumníci objevili, že databáze Biostar 2 je prakticky nezabezpečená a z většiny nezašifrovaná. Byli schopni v databázi vyhledávat pomocí manipulace s URL v Elasticsearch.

Výzkumníci tak získali přístup k více než 27,8 milionům záznamů a 23 gigabajtům dat včetně různých ovládacích panelů, biometrických dat, fotografií, nezašifrovaných přihlašovacích údajů včetně hesel, záznamů, úrovní bezpečnostního oprávnění a osobních údajů zaměstnanců. Většina nebyla zašifrovaná. „Nalezli jsme hesla k administrátorským účtům ve strojově čitelném formátu,“ sdělil Rotem. Izraelští výzkumníci byli také schopni data měnit nebo přidávat nové uživatele.

Jedná se o obří bezpečnostní chybu a chování společnosti je v tomto případě neodpustitelné – místo hashe otisku prstu ukládají do databáze reálné záznamy otisků, které lze následně zneužít. Výzkumníci se několikrát pokusili firmu Suprema kontaktovat, za celou dobu jim však neodpověděla.

V současné době už je však, zdá se, chyba opravena. Podle šéfa marketingu firmy, který reagoval na dotazy Guardianu, se firma chybou zabývá a upozorní zákazníky, pokud by jim hrozilo zneužití informací.

Zranitelnosti v dodavatelském řetězci u třetích stran jsou bohužel velmi časté – Rotem takto kontaktujte tři nebo čtyři firmy každý týden, byť tentokrát byla zranitelnost opravdu masivní.

Zdroj: Guardian

Související články

Leave a Comment