Израильские исследователи в области информационной безопасности Ноам Ротэм (Noam Rotem) и Рэн Локар (Ran Locar), работающие в проекте vpnMentor (интернет-сервис для навигации по VPN-сервисам и решения проблем конфиденциальности в Интернете), обнаружили уязвимость биометрической системы, которую используют в своей работе банки, полиция и контрагенты Минобороны Великобритании, сообщила в среду The Guardian.
Ротэм и Локар утверждают, что смогли получить доступ к отпечаткам пальцев более 1 миллиона человек, к информации о распознавании лиц, незашифрованным именам пользователей и паролям, а также личным данным сотрудников организаций. Данные, как утверждается, были получены из общедоступной базы Biostar 2.
BioStar 2, как сказано на сайте разработчика – южнокорейской компании Suprema, представляет собой открытую веб-платформу для построения систем безопасности. Биометрическая система доступа и учёта рабочего времени интегрируется в ней (с использованием облачных сервисов) с решениями сторонних производителей.
Biostar 2, отмечает издание, позволяет централизованно контролировать доступ к защищённым объектам, таким, как склады или офисные здания, используя отпечатки пальцев и распознавание лиц для идентификации людей.
В прошлом месяце Suprema объявила, что её платформа Biostar 2 была интегрирована в другую систему контроля доступа — AEOS. AEOS используется 5700 организациями в 83 странах.
Израильские исследователи утверждают, что нашли способ вести поиск в базе данных компании и получить доступ к данным. Им удалось получить доступ к более чем 27,8 миллиона записей и 23 Гб данных, включая отпечатки пальцев, данные распознавания лиц, фотографии лиц пользователей, незашифрованные имена пользователей и пароли, журналы доступа к объекту, уровни безопасности и разрешения, личные данные персонала. Большая часть имён пользователей и паролей не была зашифрована.
По словам Ротема, они смогли изменить данные и добавить новых пользователей. Это может означать, что злоумышленники могут отредактировать учётную запись существующего пользователя и добавить свой отпечаток пальца, а затем получить доступ к любому зданию. Исследователям, в частности, удалось получить доступ к данным сети спортивных залов в Индии и Пакистане, поставщика лекарств в Великобритании и др.
Эксперты также предупреждают о том, что отпечатки пальцев людей могут быть скопированы в других злонамеренных целях.
Данные об уязвимости переданы разработчику, утром в среду разработчик её закрыл.
Представитель Suprema Энди Ан (Andy Ahn) сообщил о готовности сотрудничать с экспертами и максимально быстро оповещать клиентов о проблемах с безопасностью данных, чтобы минимизировать потенциальный ущерб.
По словам автора исследования, проблема не уникальна для Suprema, в неделю эксперты обнаруживают 3-4 компании с похожими проблемами.
