İçindekiler:
Ne bilmek istiyorsun
- İki İsrailli güvenlik araştırmacısı, 23GB veri içeren şifrelenmemiş bir Biostar 2 veritabanını keşfetti
- Verilere parmak izleri, yüz taramaları, kullanıcı adları, şifreler ve 1 milyondan fazla insanın kişisel bilgileri dahil edildi.
- Güvenlik açığı kapatıldı ve şirket bilgileri derinlemesine değerlendirdi.
Geçen hafta İsrailli güvenlik araştırmacıları Noam Rotem ve Ran Locar, çevrimiçi olarak çoğunlukla şifrelenmemiş, halka açık bir Biostar 2 veritabanını keşfetti. Veritabanında parmak izleri, yüz taramaları, kullanıcı adları ve şifreler ile 1 milyondan fazla kişinin kişisel bilgileri yer aldı.
Biostar 2, güvenlik şirketi Suprema tarafından geliştirilen ve AEOS erişim kontrol sistemi ile entegre olan bir biyometrik kilit sistemidir. AEOS dünya çapında 83 ülkede ve hükümetler, bankalar ve İngiltere Büyükşehir Polisi dahil 5, 700 kuruluşta kullanılıyor.
Rotem ve Locar, bu veri tabanında vpnmentor ile birlikte "tanıdık IP blokları arayan limanları taradıkları ve ardından bu blokları şirketlerin sistemlerinde potansiyel olarak veri ihlallerine yol açabilecek delikleri bulmak için" taradıkları taramalar sırasında gerçekleştirdiler.
Parite Biostar 2'nin veritabanını bulduktan sonra, veritabanında arama yapabildi ve verilere erişmek için URL'leri değiştirebildi.
Araştırmacılar, 27.8 milyondan fazla kayda ve yönetici panelleri, gösterge panoları, parmak izi verileri, yüz tanıma verileri, kullanıcıların yüz fotoğraflarını, şifrelenmemiş kullanıcı adları ve şifreleri, tesis erişim kayıtlarını, güvenlik seviyelerini ve izlemeyi içeren 23 gigabaytlık veriye erişebildi. ve personelin kişisel bilgileri.
Guardian'a konuşan Rotem, kullanıcı adlarının ve şifrelerinin çoğunun şifrelenmediğini ve ayrıca verileri değiştirebildiklerini ve sisteme yeni kullanıcılar ekleyebildiklerini söyledi.
Vpnmentor tarafından Çarşamba günü yayınlanmadan önce Guardian'a sunulan keşif hakkındaki makalede, araştırmacılar ABD ve Endonezya’daki ortak kuruluşlardan Hindistan ve Pakistan’daki bir spor salonu zinciri olan ABD’deki ve Endonezya’daki bir spor salonu zinciri olan verilere erişebildiklerini söylediler. İngiltere ve Finlandiya'da bir otopark alanı geliştiricisi, diğerleri arasında.
Bunu daha da tehlikeli yapan şey, araştırmacıların veritabanının insanların parmak izlerini içerdiğine dikkat çekti. Bu, parmak izini ters mühendislik yapılamayan bir kareyi saklamak yerine, parmak izinin başkaları tarafından kopyalanıp kullanılabileceği anlamına gelir.
Rotem ve Locar, bildirilerini geçen hafta geç saatlerde Guardian'a göndermeden önce Suprema ile temas kurmak için birçok girişimde bulundular ve Çarşamba sabahı itibariyle güvenlik açığı düzeltildi. Suprema'daki pazarlama sorumlusu Andy Ahn, Guardian'a, şirketin, bilgilerin "derinlemesine bir değerlendirmesini" yaptığını söyledi ve:
Ürünlerimiz ve / veya hizmetlerimiz üzerinde kesin bir tehdit varsa, müşterilerimizin değerli işlerini ve varlıklarını korumak için hemen harekete geçeceğiz ve uygun duyurular yapacağız.
Güvenlik ihlalleriyle ilgili haberleri hepimiz gördük ve geçmişte bunlardan birinin mağduru olmuş olmanız muhtemel. Genellikle şifrenizi değiştirmenizi gerektirir, ancak biyometrik verilerinize gelince, sadece parmak izinizi veya yüzünüzü değiştiremezsiniz.
Galaxy S10'da yüz tanıma ne kadar güvenli?
