Inhaltsverzeichnis:
Was du wissen musst
- Zwei israelische Sicherheitsforscher entdeckten eine unverschlüsselte Biostar 2-Datenbank mit 23 GB Datenvolumen
- In den Daten waren Fingerabdrücke, Gesichts-Scans, Benutzernamen, Passwörter und andere persönliche Informationen von über 1 Million Menschen enthalten.
- Die Sicherheitsanfälligkeit wurde nun geschlossen und das Unternehmen führt eine eingehende Bewertung der Informationen durch.
In der vergangenen Woche haben die israelischen Sicherheitsforscher Noam Rotem und Ran Locar eine weitgehend unverschlüsselte öffentlich zugängliche Biostar 2-Datenbank online entdeckt. Die Datenbank enthielt Fingerabdrücke, Gesichts-Scans, Benutzernamen und Passwörter sowie persönliche Informationen von über 1 Million Menschen.
Biostar 2 ist ein von der Sicherheitsfirma Suprema entwickeltes biometrisches Schließsystem, das in das AEOS-Zugangskontrollsystem integriert ist. Der AEOS wird zufällig in 83 Ländern weltweit und in 5.700 Organisationen eingesetzt, darunter Regierungen, Banken und die britische Metropolitan Police.
Rotem und Locar stießen während eines Nebenprojekts mit vpnmentor auf diese Datenbank, bei dem sie "Ports auf der Suche nach vertrauten IP-Blöcken scannen und diese Blöcke dann verwenden, um Lücken in den Systemen von Unternehmen zu finden, die möglicherweise zu Datenverletzungen führen könnten".
Nachdem die beiden die Datenbank von Biostar 2 gefunden hatten, konnten sie die Datenbank durchsuchen und URLs manipulieren, um Zugriff auf die Daten zu erhalten.
Die Forscher hatten Zugriff auf über 27, 8 Millionen Datensätze und Daten im Wert von 23 Gigabyte, darunter Admin-Panels, Dashboards, Fingerabdruckdaten, Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu Einrichtungen, Sicherheitsstufen und Freigaben. und persönliche Details des Personals.
Im Gespräch mit dem Guardian sagte Rotem, die meisten Benutzernamen und Passwörter seien unverschlüsselt und könnten auch Daten ändern und neue Benutzer zum System hinzufügen.
In dem Artikel über die Entdeckung, die dem Guardian vor seiner Veröffentlichung durch vpnmentor am Mittwoch zur Verfügung gestellt wurde, gaben die Forscher an, auf Daten von kooperierenden Organisationen in den USA und Indonesien, einer Fitnessstudio-Kette in Indien und Pakistan, einem Medizinzulieferer in Indien, zugreifen zu können Großbritannien und ein Entwickler von Parkplätzen in Finnland.
Was dies noch gefährlicher macht, ist der Hinweis der Forscher, dass die Datenbank die Fingerabdrücke der Menschen enthält. Dies bedeutet, dass der Fingerabdruck von anderen kopiert und verwendet werden kann, anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann.
Rotem und Locar unternahmen mehrere Versuche, Suprema zu kontaktieren, bevor sie ihr Papier Ende letzter Woche an den Guardian schickten. Ab Mittwochmorgen wurde die Sicherheitsanfälligkeit behoben. Der Marketingleiter bei Suprema, Andy Ahn, teilte dem Guardian mit, dass das Unternehmen eine "eingehende Auswertung" der Informationen durchführe und:
Besteht eine eindeutige Bedrohung für unsere Produkte und / oder Dienstleistungen, werden wir unverzüglich Maßnahmen ergreifen und entsprechende Ankündigungen vornehmen, um die wertvollen Geschäfte und Vermögenswerte unserer Kunden zu schützen.
Wir alle haben die Nachrichten über Sicherheitsverletzungen gesehen, und Sie waren höchstwahrscheinlich in der Vergangenheit Opfer einer dieser Sicherheitsverletzungen. Normalerweise müssen Sie Ihr Passwort ändern, aber wenn es um Ihre biometrischen Daten geht, können Sie nicht einfach Ihren Fingerabdruck oder Ihr Gesicht ändern.
Wie sicher ist die Gesichtserkennung beim Galaxy S10?
