Sommario:
Cosa hai bisogno di sapere
- Due ricercatori israeliani sulla sicurezza hanno scoperto un database Biostar 2 non crittografato con 23 GB di dati
- I dati includevano impronte digitali, scansioni del viso, nomi utente, password e altre informazioni personali di oltre 1 milione di persone.
- La vulnerabilità è stata chiusa e la società sta effettuando una valutazione approfondita delle informazioni.
La scorsa settimana, i ricercatori israeliani di sicurezza Noam Rotem e Ran Locar hanno scoperto online un database Biostar 2 per lo più accessibile al pubblico, non crittografato. Il database comprendeva impronte digitali, scansioni del viso, nomi utente e password e informazioni personali di oltre 1 milione di persone.
Biostar 2 è un sistema di blocco biometrico sviluppato dalla società di sicurezza Suprema che si integra con il sistema di controllo accessi AEOS. L'AEOS viene utilizzato solo in 83 paesi in tutto il mondo e 5.700 organizzazioni, tra cui governi, banche e polizia metropolitana del Regno Unito.
Rotem e Locar si sono imbattuti in questo database durante un progetto parallelo con vpnmentor in cui scansionano "porte alla ricerca di blocchi IP familiari e quindi utilizzano questi blocchi per trovare buchi nei sistemi delle aziende che potrebbero potenzialmente portare a violazioni dei dati".
Dopo che la coppia ha trovato il database di Biostar 2, sono stati in grado di cercare nel database e manipolare gli URL per ottenere l'accesso ai dati.
I ricercatori hanno avuto accesso a oltre 27, 8 milioni di record e 23 gigabyte di dati tra cui pannelli di amministrazione, dashboard, dati di impronte digitali, dati di riconoscimento facciale, foto di volti di utenti, nomi utente e password non crittografati, registri di accesso alla struttura, livelli di sicurezza e autorizzazione, e dettagli personali del personale.
Parlando con il Guardian, Rotem ha affermato che la maggior parte dei nomi utente e delle password non erano crittografati e che erano anche in grado di modificare i dati e aggiungere nuovi utenti al sistema.
Nel documento sulla scoperta fornita al Guardian prima di essere pubblicato mercoledì da vpnmentor, i ricercatori hanno affermato di essere in grado di accedere ai dati delle organizzazioni che collaborano negli Stati Uniti e in Indonesia, una catena di palestre in India e Pakistan, un fornitore di medicinali in il Regno Unito e uno sviluppatore di posti auto in Finlandia, tra gli altri.
Ciò che rende questo ancora più pericoloso, sono i ricercatori che hanno sottolineato che il database include le impronte digitali delle persone. Ciò significa che l'impronta digitale può essere copiata e utilizzata da altri, invece di memorizzare un hash dell'impronta digitale che non può essere retroingegnerizzato.
Rotem e Locar hanno tentato più volte di contattare Suprema prima di inviare i loro documenti al Guardian alla fine della scorsa settimana e, a partire da mercoledì mattina, la vulnerabilità è stata risolta. Il responsabile del marketing di Suprema, Andy Ahn, ha dichiarato al Guardian che la società sta effettuando una "valutazione approfondita" delle informazioni e:
Se si è verificata una minaccia definitiva sui nostri prodotti e / o servizi, prenderemo provvedimenti immediati e faremo annunci appropriati per proteggere le preziose attività e risorse dei nostri clienti.
Abbiamo visto tutti le notizie sulle violazioni della sicurezza e molto probabilmente sei stato vittima di una di queste in passato. Di solito ti richiede di cambiare la password, ma quando si tratta di dati biometrici, non puoi semplicemente cambiare l'impronta digitale o il viso.
Quanto è sicuro il riconoscimento facciale sul Galaxy S10?
