Πίνακας περιεχομένων:
Τι πρέπει να ξέρετε
- Δύο Ισραηλινοί ερευνητές ασφαλείας ανακάλυψαν μια μη κρυπτογραφημένη βάση δεδομένων Biostar 2 με δεδομένα αξίας 23GB
- Περιλαμβάνονται στα δεδομένα τα δακτυλικά αποτυπώματα, οι σαρώσεις προσώπου, τα ονόματα χρηστών, οι κωδικοί πρόσβασης και άλλες προσωπικές πληροφορίες για πάνω από 1 εκατομμύριο άτομα.
- Η ευπάθεια έχει πλέον κλείσει και η εταιρεία κάνει μια σε βάθος αξιολόγηση των πληροφοριών.
Την περασμένη εβδομάδα, οι Ισραηλινοί ερευνητές ασφαλείας Noam Rotem και Ran Locar ανακάλυψαν μια σε βάθος μη κρυπτογραφημένη βάση δεδομένων Biostar 2 διαθέσιμη στο Διαδίκτυο. Η βάση δεδομένων περιελάμβανε δακτυλικά αποτυπώματα, σαρώσεις προσώπου, ονόματα χρηστών και κωδικούς πρόσβασης και προσωπικές πληροφορίες για πάνω από 1 εκατομμύριο άτομα.
Το Biostar 2 είναι ένα σύστημα κλειδαριάς βιομετρικών στοιχείων που αναπτύχθηκε από την εταιρεία ασφάλειας Suprema, η οποία ενσωματώνεται στο σύστημα ελέγχου πρόσβασης AEOS. Το AEOS απλώς χρησιμοποιείται σε 83 χώρες σε όλο τον κόσμο και σε 5.700 οργανισμούς, συμπεριλαμβανομένων των κυβερνήσεων, των τραπεζών και της Μητροπολιτικής Αστυνομίας του Ηνωμένου Βασιλείου.
Οι Rotem και Locar συνέβησαν σε αυτή τη βάση δεδομένων κατά τη διάρκεια ενός δευτερεύοντος έργου με vpnmentor όπου σαρώνουν "λιμάνια που αναζητούν γνωστά μπλοκ IP και στη συνέχεια χρησιμοποιούν αυτά τα μπλοκ για να βρουν τρύπες στα συστήματα των εταιρειών που θα μπορούσαν ενδεχομένως να οδηγήσουν σε παραβιάσεις δεδομένων".
Αφού το ζεύγος βρήκε τη βάση δεδομένων του Biostar 2, ήταν σε θέση να ψάξει στη βάση δεδομένων και να χειριστεί τις διευθύνσεις URL για να αποκτήσει πρόσβαση στα δεδομένα.
Οι ερευνητές είχαν πρόσβαση σε αρχεία άνω των 27, 8 εκατομμυρίων και στοιχεία δεδομένων μεγέθους 23 gigabytes, συμπεριλαμβανομένων των διαχειριστικών ομάδων, των dashboards, των δεδομένων δακτυλικών αποτυπωμάτων, των δεδομένων αναγνώρισης προσώπου, των φωτογραφιών προσώπων των χρηστών, των μη κρυπτογραφημένων ονομάτων χρηστών και των κωδικών πρόσβασης, και προσωπικά στοιχεία του προσωπικού.
Μιλώντας στο Guardian, ο Rotem δήλωσε ότι τα περισσότερα από τα ονόματα χρηστών και τους κωδικούς πρόσβασης δεν ήταν κρυπτογραφημένα και μπορούσαν επίσης να αλλάξουν δεδομένα και να προσθέσουν νέους χρήστες στο σύστημα.
Στο άρθρο σχετικά με την ανακάλυψη που δόθηκε στον Guardian προτού δημοσιευθεί από τον vpnmentor την Τετάρτη, οι ερευνητές δήλωσαν ότι μπορούσαν να έχουν πρόσβαση σε δεδομένα από συνεργαζόμενους οργανισμούς στις ΗΠΑ και την Ινδονησία, αλυσίδα γυμναστικής στην Ινδία και το Πακιστάν, το Ηνωμένο Βασίλειο και ένας κατασκευαστής χώρων στάθμευσης χώρων στάθμευσης στη Φινλανδία, μεταξύ άλλων.
Αυτό που κάνει αυτό ακόμη πιο επικίνδυνο, είναι οι ερευνητές επεσήμανε ότι η βάση δεδομένων περιλαμβάνει τα δακτυλικά αποτυπώματα των ανθρώπων. Αυτό σημαίνει ότι το δακτυλικό αποτύπωμα μπορεί να αντιγραφεί και να χρησιμοποιηθεί από άλλους, αντί να αποθηκεύσει ένα hash του δακτυλικού αποτυπώματος που δεν μπορεί να αντιστραφεί.
Ο Rotem και ο Locar έκαναν πολλές προσπάθειες να επικοινωνήσουν με την Suprema προτού στείλουν το έγγραφό τους στο Guardian αργά την περασμένη εβδομάδα και από το πρωί της Τετάρτης η ευπάθεια έχει καθοριστεί. Ο επικεφαλής του μάρκετινγκ στην Suprema, Andy Ahn, δήλωσε στον Guardian ότι η εταιρεία κάνει μια "σε βάθος αξιολόγηση" των πληροφοριών και:
Εάν υπήρξε κάποια συγκεκριμένη απειλή για τα προϊόντα και / ή τις υπηρεσίες μας, θα λάβουμε άμεσα μέτρα και θα προβούμε στις κατάλληλες ανακοινώσεις για την προστασία των πολύτιμων επιχειρήσεων και περιουσιακών στοιχείων των πελατών μας.
Έχουμε δει όλα τα ειδησεογραφικά δελτία σχετικά με τις παραβιάσεις της ασφάλειας και περισσότερο από πιθανότατα έχετε πέσει θύμα ενός από αυτά στο παρελθόν. Συνήθως απαιτεί να αλλάξετε τον κωδικό πρόσβασής σας, αλλά όταν πρόκειται για τα βιομετρικά σας δεδομένα, δεν μπορείτε απλώς να αλλάξετε το δακτυλικό αποτύπωμα ή το πρόσωπό σας.
Πόσο ασφαλής είναι η αναγνώριση προσώπου στο Galaxy S10;
