Массивная уязвимость в системе безопасности Suprema Biostar 2 приводит к утечке биометрических данных 1 миллиона пользователей

К сожалению, у нас есть еще одно нарушение безопасности, о котором нужно сообщить сегодня, и оно связано с ненадлежащим образом защищенными биометрическими данными более миллиона человек. Речь идет о платформе Suprema Biostar 2, которая используется для защиты коммерческих и государственных зданий по всему миру.

Исследователи безопасности Vpnmentor Ноам Ротем и Ран Локар обнаружили эксплойт, который делал данные отпечатков пальцев/ распознавания лиц вместе с нехешированными паролями и именами пользователей доступными через общедоступную базу данных. Всего было доступно около 28 миллионов записей общим объемом 23 гигабайта.

«Нам удалось найти простые текстовые пароли учетных записей администраторов, — пояснил Ротем. «Миллионы пользователей используют эту систему для доступа к различным местам и видят в режиме реального времени, какой пользователь входит в какое помещение или даже в какую комнату в каждом учреждении».

Еще более тревожным является тот факт, что Ротем добавляет: «Мы [были] в состоянии изменить данные и добавить новых пользователей». На практике исследователи могли добавить свои собственные данные об отпечатках пальцев в базу данных или изменить существующие отпечатки пальцев или информацию о лице в любой записи. Таким образом, теоретически вы сможете добавить свою фотографию и отпечаток пальца в базу данных и получить доступ к защищенным объектам с помощью этого эксплойта.

Учитывая, что платформа Biostar 2, которая теперь связана с дополнительной системой безопасности AEOS, которая используется в 83 странах мира, последствия этого нарушения безопасности могли быть далеко идущими. Не нужно быть ученым-ракетчиком, чтобы понять, что несанкционированное проникновение посторонних лиц в защищенные зоны коммерческих и государственных зданий представляет собой еще большую физическую угрозу безопасности, помимо основной угрозы кибербезопасности .

Первоначально Suprema не отвечала, когда команда Vpnmentor обратилась к ней с выводами. Хотя Suprema так и не ответила исследователям напрямую, сегодня утром дыры в безопасности были закрыты. Однако представитель Suprema сообщил The Guardian , что он предупредит своих клиентов, если какие-либо их данные будут скомпрометированы злоумышленником. На данный момент неизвестно, смогли ли недобросовестные хакеры проникнуть через дыру в системе безопасности до того, как Ротем и Локар сделали свое открытие.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал