Inhoudsopgave:
Wat je moet weten
- Twee Israëlische beveiligingsonderzoekers ontdekten een niet-gecodeerde Biostar 2-database met 23 GB aan gegevens
- In de gegevens waren vingerafdrukken, gezichtsscans, gebruikersnamen, wachtwoorden en andere persoonlijke informatie van meer dan 1 miljoen mensen opgenomen.
- Het beveiligingslek is nu gesloten en het bedrijf doet een grondige evaluatie van de informatie.
Vorige week ontdekten de Israëlische beveiligingsonderzoekers Noam Rotem en Ran Locar een meestal niet-gecodeerde, openbaar toegankelijke Biostar 2-database online. De database bevat vingerafdrukken, gezichtsscans, gebruikersnamen en wachtwoorden en persoonlijke informatie van meer dan 1 miljoen mensen.
Biostar 2 is een biometrisch sluitsysteem ontwikkeld door het beveiligingsbedrijf Suprema dat integreert met het AEOS toegangscontrolesysteem. De AEOS wordt toevallig gebruikt in 83 landen wereldwijd en 5.700 organisaties, waaronder overheden, banken en de Britse grootstedelijke politie.
Rotem en Locar kwamen deze database tegen tijdens een zijproject met vpnmentor, waar ze "poorten scannen op zoek naar bekende IP-blokken en deze blokken vervolgens gebruiken om gaten in de systemen van bedrijven te vinden die mogelijk kunnen leiden tot datalekken."
Nadat het paar de database van Biostar 2 had gevonden, konden ze de database doorzoeken en URL's manipuleren om toegang tot de gegevens te krijgen.
De onderzoekers hadden toegang tot meer dan 27, 8 m records en 23 gigabyte aan gegevens, waaronder admin-panelen, dashboards, vingerafdrukgegevens, gezichtsherkenningsgegevens, gezichtsfoto's van gebruikers, niet-gecodeerde gebruikersnamen en wachtwoorden, logs van faciliteitstoegang, beveiligingsniveaus en vrijgave, en persoonlijke gegevens van personeel.
In gesprek met de Guardian zei Rotem dat de meeste gebruikersnamen en wachtwoorden niet-gecodeerd waren en dat ze ook gegevens konden wijzigen en nieuwe gebruikers aan het systeem konden toevoegen.
In de krant over de ontdekking aan de Guardian voordat deze woensdag door vpnmentor werd gepubliceerd, zeiden de onderzoekers dat ze toegang konden krijgen tot gegevens van samenwerkende organisaties in de VS en Indonesië, een sportschoolketen in India en Pakistan, een medicijnleverancier in het Verenigd Koninkrijk en onder meer een ontwikkelaar van parkeerplaatsen in Finland.
Wat dit nog gevaarlijker maakt, zijn de onderzoekers erop gewezen dat de database vingerafdrukken van mensen bevat. Dat betekent dat de vingerafdruk door anderen kan worden gekopieerd en gebruikt, in plaats van een hash van de vingerafdruk op te slaan die niet reverse-engineered kan worden.
Rotem en Locar hebben meerdere pogingen gedaan om contact op te nemen met Suprema voordat ze hun papier eind vorige week naar de Guardian stuurden en vanaf woensdagochtend is het beveiligingslek opgelost. Het hoofd marketing bij Suprema, Andy Ahn, vertelde de Guardian dat het bedrijf een "diepgaande evaluatie" van de informatie uitvoert en:
Als er een duidelijke bedreiging is voor onze producten en / of diensten, zullen we onmiddellijk actie ondernemen en passende aankondigingen doen om de waardevolle bedrijven en activa van onze klanten te beschermen.
We hebben allemaal de nieuwsberichten over inbreuken op de beveiliging gezien en meer dan waarschijnlijk bent u in het verleden het slachtoffer geweest van een van deze. Meestal moet u uw wachtwoord wijzigen, maar als het gaat om uw biometrische gegevens, kunt u niet alleen uw vingerafdruk of gezicht wijzigen.
Hoe veilig is de gezichtsherkenning op de Galaxy S10?
