Преглед садржаја:
Оно што треба да знате
- Два израелска истраживача безбедности открила су нешифрирану базу података Биостар 2 са подацима вредним 23 ГБ
- У податке су укључени отисци прстију, скенирање лица, корисничка имена, лозинке и друге личне информације преко милион људи.
- Рањивост је сада затворена и компанија врши дубинску процену информација.
Прошле недеље су израелски истраживачи за безбедност Ноам Ротем и Ран Лоцар открили углавном нешифрирану јавно доступну базу података Биостар 2 на мрежи. База је садржавала отиске прстију, скенирање лица, корисничка имена и лозинке и личне податке преко милион људи.
Биостар 2 је систем за закључавање биометрије који је развила заштитарска компанија Супрема који се интегрише са АЕОС системом приступа приступу. Управо се АЕОС користи у 83 земље широм света и 5.700 организација, укључујући владе, банке и британску метрополитанску полицију.
Ротем и Лоцар догодили су се са овом базом података током споредног пројекта с впнментор-ом где скенирају „портове који траже познате ИП блокове, а затим користе ове блокове како би пронашли рупе у системима компанија које би потенцијално могле довести до кршења података“.
Након што је пар пронашао базу података Биостар 2, могли су претраживати базу података и манипулирати УРЛ-овима како би добили приступ подацима.
Истраживачи су имали приступ преко 27, 8 милиона записа и подацима вредним 23 гигабајта, укључујући административне плоче, контролне табле, податке о отисцима прстију, податке за препознавање лица, фотографије лица корисника, нешифрирана корисничка имена и лозинке, евиденције приступа објекту, нивое сигурности и одобрење, и лични детаљи особља.
У разговору за Гуардиан, Ротем је рекао да је већина корисничких имена и лозинки нешкодирана и да су такође могли да мењају податке и додају нове кориснике у систем.
У раду о открићу које је Гуардиану достављено пре него што га је впнментор објавио у среду, истраживачи су рекли да су могли да приступе подацима колаборативних организација у САД и Индонезији, ланцу теретана у Индији и Пакистану, добављачу лекова у Уједињено Краљевство и компанија за развој аутомобила за паркирање у Финској, између осталих.
Што ово чини још опаснијим, истраживачи су истакли да ова база података укључује отиске људи. То значи да отисак прста може копирати и користити други, уместо да складишти хеш отисак прста који не може бити обрнуто дизајниран.
Ротем и Лоцар покушали су више пута да контактирају Супрему пре него што су крајем прошле недеље послали свој папир Гуардиану, а већ у среду ујутро рањивост је фиксирана. Шеф маркетинга компаније Супрема, Анди Ахн, рекао је за Гуардиан да компанија врши "дубинску процену" информација и:
Ако постоји одређена пријетња за наше производе и / или услуге, одмах ћемо подузети мјере и упутити одговарајуће најаве да бисмо заштитили вриједне компаније и имовину наших купаца.
Сви смо видели вести о кршењима безбедности и више него вероватно да сте били жртва једног од ових у прошлости. Обично је потребно да промените лозинку, али када су у питању биометријски подаци, не можете само да промените отисак прста или лице.
Колико је сигурно препознавање лица на Галаки С10?
