Отпечатки пальцев, распознавание лиц и другая личная информация от Biostar 2 обнаружены в общедоступной базе данных
Охранная компания Suprema использует распознавание лиц, отпечатки пальцев и пароли для обеспечения безопасности таких объектов, как столичная полиция, оборонные подрядчики и банки. Фотография: izusek/Getty Images/iStockphoto Security Компания Suprema использует распознавание лиц, отпечатки пальцев и пароли для защиты объектов, таких как столичная полиция, оборонные подрядчики и банки. Фотография: izusek/Getty Images/iStockphotoJosh Taylor@joshgnosisWed, 14 августа 2019 г., 08:11 BST
Последнее изменение: среда, 14 августа 2019 г., 23:22 BST
- < li class="dcr-i43ppq">
Отпечатки пальцев более 1 миллиона человек, а также информация о распознавании лиц, незашифрованные имена пользователей и пароли, а также личная информация сотрудников были обнаружены в общедоступной базе данных компании, используемой такими лицами, как столичная полиция Великобритании, оборонные подрядчики и банки. .
Suprema — охранная компания, отвечающая за систему биометрических замков Biostar 2 на основе Интернета, которая позволяет централизованно контролировать доступ к охраняемым объектам, таким как склады или офисные здания. Biostar 2 использует отпечатки пальцев и распознавание лиц как часть своих средств идентификации людей, пытающихся получить доступ к зданиям.
Израильские исследователи безопасности Ноам Ротем и Ран Локар, работающие с vpnmentor, сервисом, который просматривает виртуальные частные сетевые службы, запускают побочный проект по сканированию портов в поисках знакомых IP-блоков, а затем используют эти блоки для поиска дыр в системах компаний, которые могут потенциально может привести к утечке данных.
В ходе поиска на прошлой неделе исследователи обнаружили, что база данных Biostar 2 не защищена и в основном не зашифрована. Они могли выполнять поиск в базе данных, манипулируя критериями поиска URL-адресов в Elasticsearch, чтобы получить доступ к данным.
Исследователи имели доступ к более чем 27,8 млн записей и 23 гигабайтам данных, включая панели администратора, информационные панели, данные отпечатков пальцев, данные распознавания лиц, фотографии лиц пользователей, незашифрованные имена пользователей и пароли, журналы доступа к объектам, уровни безопасности и допуск, и личные данные сотрудников.
Большинство имен пользователей и паролей не были зашифрованы, сообщил Ротем The Guardian.
«Нам удалось найти простые текстовые пароли учетных записей администраторов», — сказал он.
«Доступ позволяет, прежде всего, увидеть, как миллионы пользователей используют эту систему для доступа к различным местах и видеть в режиме реального времени, какой пользователь входит в какое учреждение или в какую комнату в каждом учреждении, даже».
«Мы [были] в состоянии изменить данные и добавить новых пользователей», — сказал он.
Это означало бы, что он мог бы отредактировать существующую учетную запись пользователя и добавить свой собственный отпечаток пальца, а затем получить доступ к любому зданию, доступ к которому разрешен этому пользователю, или он мог бы просто добавить себя в качестве пользователя со своей фотографией и отпечатками пальцев.
В документе об открытии, предоставленном Guardian перед публикацией vpnmentor в среду, исследователи заявили, что им удалось получить доступ к данным совместных организаций в США и Индонезии, сеть в Индии и Шри-Ланке, поставщик лекарств в Великобритании и застройщик парковок в Финляндии.
Исследователи заявили, что сам масштаб взлома вызывает тревогу, поскольку сервис работает в 1,5 миллионах мест по всему миру и поскольку, в отличие от утечки паролей, при утечке отпечатков пальцев вы не можете изменить свой отпечаток пальца.
«Вместо сохранения хэша отпечатка пальца (который не может быть реконструирован) они сохраняют настоящие отпечатки пальцев людей, которые могут быть скопированы в злонамеренных целях», — говорится в статье исследователей.
Исследователи предприняли несколько попыток связаться с Супремой, прежде чем передать статью в Guardian в конце прошлой недели. Рано утром в среду (по австралийскому времени) уязвимость была закрыта, но ответа от охранной фирмы до сих пор нет.
Китайские киберхакеры «стирают грань между государственной властью и преступностью».Подробнее
Глава отдела маркетинга Suprema Энди Ан сообщил Guardian, что компания провела «углубленную оценку» информации, предоставленной vpnmentor, и сообщит клиентам, если возникнет угроза.
Rotem сказал, что проблема не уникальна для Suprema.
«Это очень распространено. Существуют буквально миллионы открытых систем, и просмотр их — очень утомительный процесс», — сказал он. «И некоторые из систем довольно чувствительны».
Он сказал об уязвимостях цепочки поставок, когда компания использует стороннюю компанию для услуги, которая не имеет надлежащей безопасности. – было обычным явлением, но часто некоторые обнаруженные уязвимости касались компаний из списка Fortune 500.
Ротем сказал, что он обращается примерно к трем или четырем компаниям в неделю с похожими проблемами. Ранее в этом году Ротем указал на существенный недостаток в системе бронирования рейсов Amadeus.
«Ошибки случаются, и настоящее испытание — это то, как вы с ними справляетесь, — сказал Ротем. «Если у вас есть служба безопасности, которая может быстро и эффективно реагировать, этого достаточно. Если у вас есть служба безопасности, которая пошлет команду юристов, чтобы угрожать вам, что ж, это менее эффективно.
«И такое случается довольно часто. Неприятно, когда кто-то указывает на вашу уязвимость или слабость. Некоторые люди используют это как возможность исправить это, а некоторых это почему-то обижает».
Свежие комментарии