Зміст:
Що вам потрібно знати
- Двоє ізраїльських дослідників з питань безпеки виявили незашифровану базу даних Biostar 2 з 23 ГБ даних
- До даних були включені відбитки пальців, сканування обличчя, імена користувачів, паролі та інша особиста інформація понад 1 мільйона людей.
- Зараз вразливість закрита, і компанія проводить глибоку оцінку інформації.
Минулого тижня ізраїльські дослідники з питань безпеки Ноам Ротем та Ран Локар виявили в Інтернеті в основному незашифровану загальнодоступну базу даних Biostar 2. База даних включала відбитки пальців, сканування обличчя, імена користувачів та паролі та особисту інформацію понад 1 мільйона людей.
Biostar 2 - система блокування біометричних даних, розроблена охоронною компанією Suprema, яка інтегрується в систему контролю доступу AEOS. Щойно AEOS використовується у 83 країнах світу та 5 700 організаціях, включаючи уряди, банки та столичну поліцію Великобританії.
Ротем і Локар траплялися з цією базою даних під час побічного проекту з vpnmentor, де вони сканують "порти, які шукають знайомі блоки IP, а потім використовують ці блоки для пошуку дірок у системах компаній, які потенційно можуть призвести до порушення даних".
Після того як пара знайшла базу даних Biostar 2, вони змогли здійснити пошук у базі даних та маніпулювати URL-адресами, щоб отримати доступ до даних.
Дослідники мали доступ до понад 27, 8 мільйонів записів та даних, вартістю 23 гігабайти, включаючи панелі адміністратора, інформаційні панелі, дані відбитків пальців, дані розпізнавання обличчя, фотографії обличчя користувачів, незашифровані імена користувачів та паролі, журнали доступу до об'єктів, рівні безпеки та дозволу, та особисті дані персоналу.
Виступаючи перед Guardian, Ротем сказав, що більшість імен користувачів та паролів були незашифровані, і вони також змогли змінити дані та додати нових користувачів у систему.
У роботі про відкриття, надане Guardian перед публікацією vpnmentor у середу, дослідники заявили, що вони мали змогу отримати доступ до даних співпрацюючих організацій США та Індонезії, мереж спортзалів в Індії та Пакистані, постачальника ліків у Великобританія та розробник місця для паркування автомобілів у Фінляндії.
Що робить це ще більш небезпечним - дослідники відзначили, що база даних включає відбитки людей. Це означає, що відбиток пальця може бути скопійований та використаний іншими людьми, замість того, щоб зберігати хеш відбитка пальця, який не може бути реверсованим.
Ротем і Локар неодноразово намагалися зв’язатися з Супермо, перш ніж надсилати свої документи до Guardian наприкінці минулого тижня, і станом на ранок в середу, вразливість була виправлена. Керівник маркетингу Suprema, Енді Ан, сказав Guardian, що компанія проводить "глибоку оцінку" інформації та:
Якщо на наших продуктах та / або послугах існувала певна загроза, ми вживемо негайні дії та зробимо відповідні оголошення, щоб захистити цінний бізнес та активи наших клієнтів.
Ми всі бачили новини про порушення безпеки, і більш ніж ймовірно, ви стали жертвою одного з таких у минулому. Зазвичай вимагає змінити пароль, але якщо мова йде про ваші біометричні дані, ви не можете просто змінити відбиток пальця або обличчя.
Наскільки безпечне розпізнавання обличчя на Galaxy S10?
