Indholdsfortegnelse:
Hvad du har brug for at vide
- To israelske sikkerhedsforskere opdagede en ikke-krypteret Biostar 2-database med data på 23 GB
- Inkluderet i dataene var fingeraftryk, ansigtsscanninger, brugernavne, adgangskoder og andre personlige oplysninger fra over 1 million mennesker.
- Sårbarheden er nu lukket, og virksomheden foretager en dybdegående evaluering af informationen.
Sidste uge opdagede de israelske sikkerhedsforskere Noam Rotem og Ran Locar en for det meste ukrypteret offentligt tilgængelig Biostar 2-database online. Databasen inkluderede fingeraftryk, ansigtsscanninger, brugernavne og adgangskoder og personlige oplysninger fra over 1 million mennesker.
Biostar 2 er et biometrisk låsesystem udviklet af sikkerhedsfirmaet Suprema, der integreres med AEOS adgangskontrolsystemet. AEOS bruges bare tilfældigvis i 83 lande verden over og 5.700 organisationer, inklusive regeringer, banker og det britiske hovedstadspoliti.
Rotem og Locar skete ved denne database under et sideprojekt med vpnmentor, hvor de scanner "porte på udkig efter kendte IP-blokke, og derefter bruger disse blokke til at finde huller i virksomheders systemer, der potentielt kan føre til dataforbrud."
Efter at parret fandt Biostar 2's database, var de i stand til at søge i databasen og manipulere URL'er for at få adgang til dataene.
Forskerne havde adgang til over 27, 8 m poster og 23 gigabyte-værdi af data inklusive admin paneler, dashboards, fingeraftryksdata, ansigtsgenkendelsesdata, ansigtsbilleder af brugere, ukrypterede brugernavne og adgangskoder, logfiler over adgang til facilitet, sikkerhedsniveauer og clearance, og personlige oplysninger om personalet.
I en tale med Guardian sagde Rotem, at de fleste af brugernavne og adgangskoder var ukrypterede, og at de også kunne ændre data og tilføje nye brugere til systemet.
I papiret om den opdagelse, der blev leveret til Guardian, før den blev offentliggjort af vpnmentor onsdag, sagde forskerne, at de var i stand til at få adgang til data fra samarbejdsorganisationer i USA og Indonesien, en gymnastikselskæde i Indien og Pakistan, en medicinalverandør i Det Forenede Kongerige og en blandt andet en parkeringsudvikler i Finland.
Hvad der gør dette endnu farligere, er forskerne påpegede, at databasen inkluderer folks fingeraftryk. Det betyder, at fingeraftrykket kan kopieres og bruges af andre i stedet for at opbevare en hash af fingeraftrykket, som ikke kan omvendt konstrueres.
Rotem og Locar gjorde flere forsøg på at kontakte Suprema, inden de sendte deres papir til Guardian sent i sidste uge, og fra onsdag formiddag er sårbarheden rettet. Lederen for marketing hos Suprema, Andy Ahn, fortalte Guardian, at virksomheden foretager en "grundig evaluering" af informationen og:
Hvis der har været nogen definitiv trussel mod vores produkter og / eller tjenester, tager vi øjeblikkelig handlinger og fremsætter passende meddelelser for at beskytte vores kunders værdifulde forretninger og aktiver.
Vi har alle set nyhederne om sikkerhedsbrud, og mere end sandsynligt har du været offer for en af disse i fortiden. Det kræver normalt, at du ændrer din adgangskode, men når det kommer til dine biometriske data, kan du ikke bare ændre dit fingeraftryk eller dit ansigt.
Hvor sikker er ansigtsgenkendelsen på Galaxy S10?
