Дефект в системе безопасности привёл к массивной «утечке» персональной информации

Биометрическая система замков Biostar 2, управляемая охранной компанией Suprema, использует отпечатки пальцев и технологию распознавания лиц для предоставления доступа в здания уполномоченным лицам. В прошлом месяце платформа была интегрирована в другую систему доступа — AEOS, которой пользуются 5700 организаций в 83 странах, включая столичную полицию Великобритании.

Израильские специалисты по кибербезопасности из компании Vpnmentor обнаружили в системе серьёзные недостатки, повлекшие за собой массивную утечку биометрических данных пользователей. Сотрудники компании Ноамом Ротемом и Ран Локаром дали интервью изданию The Guardian, в котором отметили, что помимо массовой утечки данных, недоработки позволяют злоумышленникам добавлять новые биометрические данные в систему безопасности и получать доступ к любым средствам, к которым разрешён доступ обычным пользователям. Это может привести, например, к невозможности сменить подменённый отпечаток пальца на свой собственный.

По словам исследователей, их шокировал масштаб взлома: сервис использовался в 1,5 миллионах точек по всему миру. В ходе обычного сканирования сети, проведенного на прошлой неделе, специалисты обнаружили, что база данных Biostar 2 находится в открытом доступе и что, используя критерии поиска URL-адресов, почти кто угодно мог получить доступ к почти 28 миллионам записей и 23 ГБ данных, включая отпечатки пальцев, данным распознавания лиц, паролям и другой конфиденциальной информации.

После обнаружения массивной утечки данных, коллеги попытались связаться с Suprema, но ответа они до сих пор не получили. У The Guardian получилось выйти на связь с представителями охранной компании, которые заверили журналистов, что устранили уязвимость и делают всё возможное для предотвращения будущих возможных утечек.

Фото: Suprema