Sisällysluettelo:
Mitä sinun tarvitsee tietää
- Kaksi israelilaista turvallisuustutkijaa löysi salaamattoman Biostar 2 -tietokannan, jossa oli 23 Gt: n arvoinen tieto
- Tietoihin sisältyivät sormenjäljet, kasvojen skannaukset, käyttäjänimet, salasanat ja muut yli miljoonan ihmisen henkilökohtaiset tiedot.
- Haavoittuvuus on nyt suljettu, ja yritys arvioi tietoja syvällisesti.
Israelin turvallisuustutkijat Noam Rotem ja Ran Locar löysivät viime viikolla verkkoon pääsääntöisesti salaamattoman, julkisesti saatavilla olevan Biostar 2 -tietokannan. Tietokanta sisälsi yli miljoonan ihmisen sormenjäljet, kasvojen skannaukset, käyttäjänimet ja salasanat sekä henkilökohtaiset tiedot.
Biostar 2 on Supreman kehittämä biometrinen lukitusjärjestelmä, joka integroituu AEOS-kulunvalvontajärjestelmään. AEOS-tapauksia käytetään vain 83 maassa ympäri maailmaa ja 5700 organisaatiossa, mukaan lukien hallitukset, pankit ja Ison-Britannian pääkaupunkipolitiikka.
Rotem ja Locar tapahtuivat tässä tietokannassa vpnmentorin kanssa suoritetun sivuprojektin aikana, jossa ne skannaavat "satoja, jotka etsivät tuttuja IP-lohkoja, ja käyttävät sitten näitä lohkoja löytääkseen reikiä yritysten järjestelmiin, jotka voivat johtaa tietovirheisiin".
Kun pari löysi Biostar 2: n tietokannan, he pystyivät etsimään tietokantaa ja manipuloimaan URL-osoitteita saadakseen pääsyn tietoihin.
Tutkijoilla oli pääsy yli 27, 8 miljoonan tietueen ja 23 gigatavun arvoiseen tietoon, mukaan lukien järjestelmänvalvojan paneelit, kojetaulut, sormenjälkitiedot, kasvojentunnistustiedot, käyttäjien kasvokuvat, salaamattomat käyttäjätunnukset ja salasanat, toimitilojen lokit, turvatasot ja selvitys, ja henkilöstön henkilötiedot.
Puhuessaan Guardianille Rotem kertoi, että suurin osa käyttäjätunnuksista ja salasanoista oli salaamattomia ja he pystyivät myös muuttamaan tietoja ja lisäämään uusia käyttäjiä järjestelmään.
Guardianille toimitetusta löytöstä ennen vpnmentorin keskiviikkona julkaisemaa tutkimusta tutkijat kertoivat pystyvänsä saamaan tietoja Yhdysvaltojen ja Indonesian yhteistyöorganisaatioiden, Intian ja Pakistanin kuntosaliketjun, lääkkeiden toimittajan Iso-Britannia ja muun muassa autopaikkatilan kehittäjä Suomessa.
Mikä tekee tästä vielä vaarallisemman, tutkijat huomauttivat, että tietokanta sisältää ihmisten sormenjäljet. Tämä tarkoittaa, että sormenjälki voidaan kopioida ja käyttää toisten sijasta sormenjäljen tallentamisen sijasta, jota ei voida suunnitella käänteisesti.
Rotem ja Locar yrittivät ottaa yhteyttä Supremaan ennen kuin he lähettivät paperinsa Guardianille viime viikon lopulla, ja keskiviikkoaamuna haavoittuvuus on korjattu. Supreman markkinointijohtaja Andy Ahn kertoi Guardianille, että yritys suorittaa "syvällisen arvioinnin" tiedoista ja:
Jos tuotteillemme ja / tai palveluihimme on kohdistunut selvä uhka, ryhdymme välittömiin toimiin ja teemme asianmukaisia ilmoituksia asiakkaidemme arvokkaiden liiketoimintojen ja omaisuuden suojelemiseksi.
Olemme kaikki nähneet uutisia turvallisuusrikkomuksista, ja enemmän kuin todennäköistä, että olet jo aiemmin joutunut yhden näistä uhreiksi. Yleensä se vaatii salasanasi vaihtamisen, mutta kun kyse on biometrisistä tiedoista, et voi vain vaihtaa sormenjälkeä tai kasvot.
Kuinka turvallinen kasvojentunnistus on Galaxy S10: llä?
