Više od milion otisaka prstiju, kao i informacije vezane za prepoznavanje lica, enkriptovanih korisničkih imena i šifri, podataka o zaposlenima pronađeni su na javno dostupnoj bazi podataka kompanije Suprema.
Suprema je bezbjednosna kompanija odgovorna za nastanak Biostar 2 biometrijskog sistema koji omogućava centralizovanu kontrolu pristupa objektima. Biostar 2 koristi otiske prstiju i tehnologiju prepoznavanja lica kako bi identifikovala ljude koji pokušavaju da pristupe zaštićenom objektu.
Prošlog mjeseca Suprema je objavila da je Biostar 2 platforma integrisana u jedan veći kontrolni sistem – AEOS. AEOS koristi 5.700 organizacija iz 83 države širom svijeta, uključujući vlade, banke i policiju Ujedinjenog Kraljevstva.
Izraelski istraživači Noam Rotem i Ran Locar koji sarađuju sa sajtom vpnmentor, koji se bavi ocjenjivanjem VPN usluga, pokušavali su da pronađu rupe u sigurnosnim sistemima kompanija širom svijeta.
Prošle nedjelje, ova dva istraživača pronašli su ogroman propust u Biostar 2 sistemu. Čitava databaza, ispostavilo se, enkriptovana je i nezaštićena. Oni su pristupili podacima u kojima su otisci prstiju, lica, slike korisnika, enkriptovana korisnička imena i šifre itd.
“Uspjeli smo da pronađemo tekstualne fajlove sa šiframa administratorskih naloga”, izjavio je Rotem za Guardian.”Ovaj propust prije svega omogućava posmatranje miliona korisnika kojij koriste ovaj sistem na različitim lokacijama, i posmatranje u realnom vremenu ko je pristupio kojim objektima” dodao je Noam.
“Uspjeli smo da promijenimo podatke i čak da dodamo nove korisnike” rekao je Rotem.
Ovo znači da je moguće promijeniti postojeće naloge i dodati sopstveni otisak prsta, i tako omogućiti sebi pristup svim objektima kao i originalni vlasnik naloga, ili prosto da zamijeniti sliku i otiske prstiju originalnog vlasnika sa sopstvenim.
Istraživači su uspjeli da da pristupe podacima više organizacija iz SAD i Indonezije, lanca teretana u Indiji i Pakistanu i dobavljača lijekova iz Ujedinjenog Kraljevstva.
Također, su dodali da je veličina propusta alarmantna zato što se servis Biostar 2 koristi na više od 1.5 miliona lokacija širom planete, i zato što, u slučaju da su procurile šifre, njih možemo lako da zamijenimo. Otisak prsta malo teže.
Supremin šef marketinga, Andy Ahn, izjavio je za Guardian da će kompanija izvršiti “dubinsku evaluaciju” informacija koje je objavio sajt Vpnmentor i da će obavijestiti korisnike ako postoje bezbjednosne prijetnje.
“Ako postoji neka definitivna prijetnja našim uslugama, momentalno ćemo preduzeti nešto i dati odgovarajuće preporuke kako bi zaštitili naše korisnike” rekao je Andy.
Rotem je dodao da ovaj problem nije jedinstven. “Veoma je čest. Postoje bukvalno milioni ovakvih otvorenih sistema, i pretraživati ih je veoma mučan proces” dodao je.
Noam je rekao za Guardian, da kontaktira prosječno tri ili četiri kompanije nedjeljno povodom sličnih problema.
“Greške se dešavaju, ali pravi test je kako se sa njima izboriti” rekao je Noam.” Ako imate bezbjednosni tim koji može brzo i efikasno da odgovori na problem to je dovoljno. Ako će bezbjednosni tim da pošalje pravni tim da vam prijeti, pa, to i nije efikasno” dodao je.
(TBT)