Констатираха огромен теч на биометрични данни

Киберсигурност

Съобщава за голямото изтичане на биометричната база данни – записи за лицево разпознаване, пръстови отпечатъци, данни и лична информация са намерени в „обществено достъпна база данни“. Щетите все още не са ясни, но в доклада се твърди, че са били изложени действителни отпечатъци и записи за разпознаване на лица на милиони хора.

Проблемът с биометричните данни, които се съхраняват по този начин, е, че за разлика от потребителските имена и пароли, те не могат да бъдат променяни. По тази причина този доклад за изтичане на данни е изключително притеснителен.

Докладът, публикуван от изследователите в сферата на сигурността Noam Rotem и Ran Locar във Vpnmentor, се отнася до Suprema, компания, която се описва като „глобална електроцентрала в областта на биометрията, решенията за сигурност и идентичност“, с продуктова гама, която „включва биометрични системи за контрол на достъпа, скенери на пръстови отпечатъци, мобилни решения за удостоверяване и вградени модули за пръстови отпечатъци. “

Новината за теча беше публикувана за първи път от вестник Guardian в сряда в Обединеното кралство. Нарушението е международно, като Biomet 2 SDK за биометрична идентичност на Suprema е интегриран в системата за контрол на достъпа AEOS, „използвана от 5700 организации в 83 държави, включително правителства, банки и полиция“.

Почти 28 милиона записи в повече от 23 гигабайта данни, включващи „данни за пръстови отпечатъци, данни за разпознаване на лица, снимки на лица на потребители, некриптирани потребителски имена и пароли, данни за достъп до съоръжения, нива на сигурност и разрешения, както и лични данни за персонала.

Силно чувствителните данни са останали декриптирани, твърдят изследователите, включително потребителски имена и пароли. „Успяхме да намерим пароли в обикновен текст на администраторски акаунти“, каза Ротем пред „Гардиън“. „Изследването позволява преди всичко да видим, че милиони потребители използват тази система за достъп до различни местоположения. Вижда се в реално време кой потребител влиза, в кое съоръжение или коя стая във всяко съоръжение.“ Изследователите дори са успели да променят данни и да добавят нови потребители.

Наистина сериозните последици тук са двойни. Първо, манипулирането на системите за контрол на достъпа за защитени сайтове – редактиране на акаунти, промяна на регистрационни файлове, премахване или добавяне на записи, дори промяна на потребителски данни. Второ, и дори по-голям проблем, достъпът до действителни биометрични данни, които не могат да бъдат променяни. Да загубиш парола и потребителско име е едно нещо, да имаш откраднати пръстови отпечатъци (които не могат да бъдат променени) е съвсем друго.

Според изследователите, „вместо да запазят хеш от пръстовия отпечатък (който не може да бъде променен обратно), те запазват действителните пръстови отпечатъци на хората, които могат да бъдат копирани за злонамерени цели.“

Източник: forbes.com