Više od milion otisaka prstiju, kao i informacije vezane za prepoznavanje lica, enkriptovanih korisničkih imena i šifri, podataka o zaposlenima pronađeni su na javno dostupnoj bazi podataka kompanije Suprema.
Suprema je bezbednosna kompanija odgovorna za nastanak Biostar 2 biometrijskog sistema koji omogućava centralizovanu kontrolu pristupa objektima. Biostar 2 koristi otiske prstiju i tehnologiju prepoznavanja lica kako bi identifikovala ljude koji pokušavaju da pristupe zaštićenom objektu.
Prošlog meseca Suprema je objavila da je Biostar 2 platforma integrisana u jedan veći kontrolni sistem – AEOS. AEOS koristi 5.700 organizacija iz 83 države širom sveta, uključujući vlade, banke i policiju Ujedinjenog Kraljevstva.
Izraelski istraživači Noam Rotem i Ran Lokar koji sarađuju sa sajtom vpnmentor, koji se bavi ocenjivanjem VPN usluga, pokušavali su da pronađu rupe u sigurnosnim sistemima kompanija širom sveta.
Prošle nedelje, ova dva istraživača pronašli su ogroman propust u Biostar 2 sistemu. Čitava databaza, ispostavilo se, enkriptovana je i nezaštićena. Oni su pristupili podacima u kojima su otisci prstiju, lica, slike korisnika, enkriptovana korisnička imena i šifre itd.
„Uspeli smo da pronađemo tekstualne fajlove sa šiframa administratorskih naloga“, izjavioje Rotem za Gardijan.“Ovaj propust pre svega omogućava posmatranje miliona korisnika kojij koriste ovaj sistem na različitim lokacijama, i posmatranje u realnom vremenu ko je pristupio kojim objektima“ dodao je Noam.
„Uspeli smo da promenimo podatke i čak da dodamo nove korisnike“ rekao je Rotem.
Ovo znači da je moguće promeniti postojeće naloge i dodati sopstveni otisak prsta, i tako omogućiti sebi pristup svim objektima kao i originalni vlasnik naloga, ili prosto da zameniti sliku i otiske prstiju originalnog vlasnika sa sopstvenim.
Istraživači su uspeli da da pristupe podacima više organizacija iz SAD i Indonezije, lanca teretana u Indiji i Pakistanu i dobavljača lekova iz Ujedinjenog Kraljevstva.
Takođe su dodali da je veličina propusta alarmantna zato što se servis Biostar 2 koristi na više od 1.5 miliona lokacija širom planete, i zato što, u slučaju da su procurele šifre, njih možemo lako da zamenimo. Otisak prsta malo teže.
Supremin šef marketinga, Endi An, izjavio je za Gardijan da će kompanija izvršiti „dubinsku evaluaciju“ informacija koje je objavio sajt Vpnmentor i da će obavestiti korisnike ako postoje bezbednosne pretnje.
„Ako postoji neka definitivna pretnja našim uslugama, momentalno ćemo preduzeti nešto i dati odgovarajuće preporuke kako bi zaštitili naše korisnike“ rekao je Endi.
Rotem je dodao da ovaj problem nije jedinstven. „Veoma je čest. Postoje bukvalno milioni ovakvih otvorenih sistema, i pretraživati ih je veoma mučan proces“ dodao je.
Noam je rekao za Gardijan, da kontaktira prosečno tri ili četiri kompanije nedeljno povodom sličnih problema.
„Greške se dešavaju, ali pravi test je kako se sa njima izboriti“ rekao je Noam.“ Ako imate bezbednosni tim koji može brzo i efikasno da odgovori na problem to je dovoljno. Ako će bezbednosni tim da pošalje pravni tim da vam preti, pa, to i nije efikasno“ dodao je.