Над милион пръстови отпечатъци и други лични данни са изложени на онлайн достъпност от софтуер за сигурност

От Уикиновини
Направо към навигацията Направо към търсенето

14 август 2019 г.
Учени от фирмата за кибер-сигурност VPNMentor са успели да достъпят онлайн лични данни, използвайки пролука в сигурността на софтуера Biostar 2.

Biostar 2 се използва от много компании по света за контролиране на достъпа до определени части на охранявани локации с висока степен на сигурност. Контролът се извършва от нея чрез биометрични данни на лицата с позволен достъп. Именно тези данни се е оказало възможно да бъдат достъпени онлайн. Пролуката в сигурността е открита на 5 август 2019 г., и е отстранена от Suprema - фирмата, която предлага Biostar 2 - на 13 август. Не е ясно откога датира тази достъпност.

Освен пръстови отпечатъци, учените са успели да достъпят и много други събирани от софтуера данни - снимки на хора, данни от лицево разпознаване, адреси, имена, пароли, трудова история, записи кога лица са посещавали охраняваните локации. Общо са били разкрити 23 гигабайта информация, съдържащи около 30 милиона записа. Част от тази информация, например пръстовите отпечатъци, е валидна в течение на целия живот на хората - веднъж разпространена публично, няма как да бъде променена. Тя може да бъде използвана за широк кръг нелегални дейности, поставяйки в опасност както лицата, на които принадлежи, така и техни работодатели или клиенти.

Разкрилите проблема учени съобщават, че са срещнали трудности, когато се опитали да съобщят за проблема на Suprema. По думите на члена на екипа Ноам Ротем, те са звъняли на много офиси на фирмата, и в повечето случаи просто са им затваряли телефона.

Веригата за домашни стоки Tile Mountain съобщава, че е потребител на софтуера Biostar 2. По техни думи, от 26 февруари 2018 г. те не са активен клиент на Suprema и са съхранявали събраната лична информация на свои собствени защитени сървъри. Те изразяват загриженост, че Suprema не са ги предупредили за уязвимостта, въпреки че вече не са им клиенти. Липсата на това предупреждение, по думите на фирмата, потенциално би ѝ попречило да изпълни задълженията си по GDPR.

Смята се, че са засегнати и други британски и международни фирми. Сред тях са Power World Gyms, Addecco Staffing и Global Village.

Източници