Luka w zabezpieczeniach: dane biometryczne milionów ludzi w sieci

dodano: 2019-08-22 14:25
autor: HP | źródło: netzpolitik.org

Okazuje się, że pewna firma ochroniarska, której platforma jest również wykorzystywana przez policję i agencje rządowe, przechowała dane biometryczne milionów ludzi w postaci niezaszyfrowanej. Specjaliści do spraw bezpieczeństwa mieli dostęp do odcisków palców, zdjęć i osobistych haseł wielu osób, a nawet wymieniali dane. Prawda jest taka, że identyfikacja biometryczna może zostać łatwo złamana i wykorzystana przez przestępców, jeśli biometryczne dane nie zostały właściwie zabezpieczone podczas przechowywania.

Zespół śledczy z vpnMentor odkrył tego typu lukę przy przechowywaniu danych biometrycznych w południowokoreańskiej firmie Suprema. Ich platforma BioStar 2 umożliwia firmom identyfikację osób z rozpoznawaniem twarzy i odcisków palców oraz przypisywanie praw dostępu do bezpiecznych obszarów w budynkach. Okazuje się, że z tego systemu korzysta m.in. brytyjska policja, wiele banków i firm ochroniarskich.

Zespół prowadzony przez izraelskich specjalistów ds. bezpieczeństwa Noam Rotem i Ran Locar uzyskał dostęp do 23 gigabajtów poufnych danych. To ponad 27 mln rekordów zawiera dane biometryczne pracowników, ich poziomy bezpieczeństwa i uprawnienia oraz niezaszyfrowane nazwy użytkowników i hasła. Oprócz braku szyfrowania badacze skrytykowali prostotę haseł. Jak to zwykle odkryto banalne hasła, takie jak „Password” lub „abcd1234”. Informacje o rozpoznawaniu twarzy i odciski palców były przechowywane w wersji niezaszyfrowanej. Luka ta mogła zostać wykorzystana do kontroli systemów bezpieczeństwa obiektów, których dotyczy problem, tworzenia nowych zestawów danych i uzyskiwania dostępu do obiektów, których dotyczy problem.

Do czego mogą posłużyć nieszyfrowane dane biometryczne?
Dzięki skradzionym odciskom palców i zdjęciom twarzy przestępcy mogą łatwo ukraść czyjąś tożsamość, wybrać pieniądze z wybranych bankomatów, itd. Przybywa możliwości jakie otwierają się przed przestępcami umiejącymi wykorzystać dane biometryczne.

Po znalezieniu danych naukowcy poinformowali Suprema o luce w zabezpieczeniach. Jednak firma Suprema nie bardzo była chętna do współpracy z naukowcami, którzy wskazali lukę, nie chciała odpowiadać na maile, a rozmowa telefoniczna kończyła się rozłączeniem połączenia. 13 sierpnia 2019 r. biometryczna luka bezpieczeństwa w Korei została zamknięta. Ciekawe czy inne tego typu systemy jak np. BioStar 2 zostały jakoś zabezpieczone?

Źródło: netzpolitik.org 

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.

• Fałszywe maile od HBO Max
• Internetowi oszuści zachęcają do inwestowania
• EFL: „Cyberbezpieczeństwo w firmie. Jak o nie zadbać?”
• Kamery domowe - czy można je zhakować? Jak tego uniknąć?
• Platforma IPTV BrightBlue naruszyła prawa autorskie Rai i TV5

Więcej z kategorii Kradzież danych

HOLLEX.PL - Twój sklep internetowy