Obsah:
Čo potrebuješ vedieť
- Dvaja izraelskí vedci v oblasti bezpečnosti objavili nezašifrovanú databázu Biostar 2 s údajmi v hodnote 23 GB
- Do údajov boli zahrnuté odtlačky prstov, skenovanie tváre, používateľské mená, heslá a ďalšie osobné informácie od viac ako 1 milióna ľudí.
- Táto zraniteľnosť je teraz uzavretá a spoločnosť robí hĺbkové vyhodnotenie informácií.
Minulý týždeň objavili izraelskí vedci v oblasti bezpečnosti Noam Rotem a Ran Locar online prevažne nezašifrovanú verejne prístupnú databázu Biostar 2. Databáza obsahovala odtlačky prstov, skenovanie tváre, používateľské mená a heslá a osobné informácie od viac ako 1 milióna ľudí.
Biostar 2 je biometrický zámkový systém vyvinutý bezpečnostnou spoločnosťou Suprema, ktorý je integrovaný do systému riadenia prístupu AEOS. AEOS sa práve používa v 83 krajinách po celom svete a 5 700 organizáciách vrátane vlád, bánk a britskej metropolitnej polície.
Rotem a Locar sa v tejto databáze vyskytli počas vedľajšieho projektu s účastníkom, kde skúmali „porty, ktoré hľadajú známe bloky IP, a potom tieto bloky používajú na nájdenie dier v systémoch spoločností, ktoré by mohli potenciálne viesť k narušeniu údajov“.
Potom, čo pár našiel databázu Biostar 2, boli schopní prehľadávať databázu a manipulovať s adresami URL, aby získali prístup k údajom.
Vedci mali prístup k viac ako 27, 8 m záznamom a k údajom v hodnote 23 gigabajtov vrátane správcovských panelov, dashboardov, údajov o odtlačkoch prstov, údajov o rozpoznaní tváre, fotografií tvárí používateľov, nezašifrovaných používateľských mien a hesiel, protokolov o prístupe k zariadeniam, bezpečnostných úrovniach a povolení, a osobné údaje zamestnancov.
V rozhovore pre Guardian Rotem uviedol, že väčšina používateľských mien a hesiel bola nezašifrovaná a že boli schopní zmeniť údaje a pridať nových používateľov do systému.
V článku o objavoch poskytnutých Guardianovi predtým, ako ich v stredu zverejnil vpnmentor, vedci uviedli, že mali prístup k údajom od spolupracujúcich organizácií v USA a Indonézii, v telocvični v Indii a Pakistane, dodávateľa liekov v Spojené kráľovstvo a vývojár parkovacích miest pre automobily vo Fínsku.
Čo je ešte nebezpečnejšie, je to, že vedci zdôraznili, že databáza obsahuje odtlačky prstov ľudí. To znamená, že odtlačky prstov môžu byť kopírované a použité ostatnými, namiesto ukladania hash odtlačkov prstov, ktoré nie je možné spätne skonštruovať.
Koncom minulého týždňa sa Rotem a Locar pokúsili kontaktovať spoločnosť Suprema skôr, ako koncom minulého týždňa zaslali svoj príspevok Guardianovi. V stredu ráno bola zraniteľnosť odstránená. Vedúci marketingu spoločnosti Suprema, Andy Ahn, povedal Guardianovi, že spoločnosť robí „hĺbkové vyhodnotenie“ informácií a:
Ak dôjde k určitému ohrozeniu našich výrobkov a / alebo služieb, podnikneme okamžité kroky a vydáme príslušné oznámenia na ochranu cenných obchodov a aktív našich zákazníkov.
Všetci sme videli novinové príbehy o narušení bezpečnosti a je viac ako pravdepodobné, že ste sa stali obeťou jedného z nich v minulosti. Zvyčajne si vyžaduje zmenu hesla, ale pokiaľ ide o vaše biometrické údaje, nemôžete zmeniť iba odtlačok prsta alebo tvár.
Ako bezpečné je rozpoznávanie tváre na Galaxy S10?