Een biometrisch systeem dat wordt gebruikt door de Britse politie, defensie-aannemers en banken heeft te maken gehad met een groot datalek. Hierdoor zijn de digitale voetafdrukken van meer dan een miljoen mensen toegankelijk gemaakt voor het publiek. Naast vingerafdrukken werden ook gezichtsherkenningsgegevens, niet-versleutelde gebruikersnamen, wachtwoorden en persoonlijke informatie blootgelegd.
ADVERTENTIE
De Israëlische veiligheidsonderzoekers Noam Rotem en Ran Locar van vpnMentor ontdekten de grotendeels onversleutelde en openbaar toegankelijke database. Door de URL-zoekcriteria te manipuleren, kreeg het paar toegang tot meer dan 23 GB aan gegevens, met bijna 28 miljoen records.
De database behoort tot het biometrische systeem Biostar 2, dat wordt beheerd door een beveiligingsbedrijf genaamd Suprema. Het is een systeem dat wordt gebruikt om geautoriseerde personen toegang te verlenen tot beveiligde faciliteiten.
De fout betekende dat onderzoekers nieuwe gebruikers aan de database konden toevoegen, waardoor ze toegang kregen tot faciliteiten die het Biostar 2-systeem moest beschermen. De vingerafdrukken in de database waren ook echte vingerafdrukken die door anderen konden worden gekopieerd en gebruikt, in plaats van een hash van de vingerafdruk die niet kan worden reverse-engineered.
Rotem zei dat hij en Locar verschillende pogingen hebben ondernomen om contact op te nemen met Suprema zonder succes, maar de storing is nu verholpen. Andy Ahn, Chief Marketing Officer van Suprema, vertelde The Guardian dat het bedrijf een “diepgaande beoordeling” van de informatie heeft uitgevoerd en zijn klanten zal informeren als er een dreiging is.
(Bron: vpnMentor via The Guardian)
