2019. augusztus 14. 13:53
mfor.hu

Bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja a Biostar 2 nevű biometrikus azonosító rendszert, mely nyilvánosan elérhető adatbázisban, titkosítás nélkül tárolt borzasztóan érzékeny adatokat.

Óriási adatszivárgást fedezett fel két izraeli internetbiztonsági szakember, melynek jelentését a Guardianhoz juttatták el (a teljes dokumentum itt olvasható). Noam Rotem és Ran Locar a vpnmentor virtuális magánhálózatok ellenőrzésére létrehozott rendszerét használva azt találta, hogy a Biostar 2 nevű biometrikus azonosító szolgáltató védtelenül tárolta több mint egymillió felhasználó borzasztóan érzékeny adatait. És most valóban nagyon érzékeny dolgokról van szó: nem csak felhasználónevekről és jelszavakról, de - a biometrikus mivoltból kifolyólag - ujjlenyomatokról és arcfotókról is. És ha mindez még nem lenne elég, a Biostar 2 rendszerét mások mellett bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja, szóval az extra érzékeny adatok ráadásul potenciálisan olyan felhasználókhoz köthetők, aki alapból rendkívül érzékeny helyzetben vannak.

A Suprema biztonsági cég által működtetett Biostar 2-t jellemzően őrzött raktárépületek és irodaépületek beengedőrendszerének központi vezérléséhez használják fel, az ujjlenyomat- és arcellenőrzést végzik el vele. A Suprema a múlt hónapban jelentette be, hogy a rendszert integrálja egy másik, az AEOS nevű szolgáltatásba, melyet világszerte 83 országban használnak. Ez nagyjából 5700 ügyfélt jelent, köztük kormányszervekkel is.

Rotem és Locar egy múlt heti keresés nyomán találtak rá a Biostar 2 adatbázisára, mely védtelen, és java részt titkosítatlan. A webkutatók viszonylag egyszerű módszerrel 27,8 millió feljegyzéshez és 23 gigabájtnyi adathoz fértek hozzá, melyek közt a már említett biometrikus adatok és titkosítatlan felhasználónevek és jelszavak mellett különféle létesítmények beléptetési naplói, biztonsági rendszerek belépési engedélyei és biztonsági személyzetek magánadatai is voltak. Az adathalmazt olyan hanyagul tárolták, hogy a két szakember még adminisztrátori jelszavakat is talált teljesen titkosítatlanul, tehát úgy, hogy a jelszavak tisztán ott virítottak előttük a képernyőn, egyszerű karaktersorként.

A kutatók azt mondják, az adatok felhasználásával, a biometrikus azonosításokat megfigyelve valós időben lekövethető, ahogy az épp kiszemelt személy belép egy létesítménybe, sőt, az is látszik, hogy aztán adott létesítményen belül melyik szobába megy be. A páros ezen kívül képes volt manipulálni a talált adatokat, és új felhasználókat ültetni a rendszerbe. Ez a gyakorlatban azt jelenti, hogy képesek egy már létező, regisztrált felhasználóhoz tartozó ujjlenyomatot és fotót kicserélni egy másikra, például a sajátjukra, így pedig belépést nyerni őrzött objektumokba. Vagy egy már létező felhasználó biometrikus adatait ellopva létre tudnak hozni egy új, érvényes felhasználót, a meglopott felhasználóéval megegyező belépési engedélyekkel. A kutatók gyakorlati példaként felhozták, hogy hozzáfértek mások mellett amerikai és indonéz szervezetek, indiai és pakisztáni edzőtermek, valamint egy brit gyógyszergyártó és egy finn autóparkoló cég beléptetési rendszeréhez is.

Hogy védtelenül tárolták az adatokat, az azért különösen aggasztó, mert egy kiszivárgott jelszót meg lehet változtatni, de az ujjlenyomatunkat nem, annak másolatát pedig el lehet adni rosszindulatú feleknek.

A kutatópáros többször is megkereste kérdéseivel a Supremat, de a cég nem reagált. Rotem és Locar ezek után küldte el a jelentést a Guardiannek. Az adatbázis sebezhetősége ausztrál idő szerint szerdán korán reggel megszűnt, de a biztonsági cég eztután sem válaszolt a szakembereknek. A Guardiannek viszont igen, annyit, hogy mélységében megvizsgálják az esetet, és ha úgy látják, valóban közvetlen veszélynek tették ki az ügyfeleiket, akkor előállnak egy hivatalos bejelentéssel.

Az adatbázisok elégtelen védelme egyébként meglehetősen mindennapi probléma Rotem szerint. A szakember azt mondja, heti három-négy céggel veszi fel ilyen ügyekben a kapcsolatot - ő volt az, aki az év elején feltárta az Amadeus repülőjegy-foglaló rendszer sebezhetőségét is. A most felfedezett probléma viszont mind a biometrikus adatok, mind a kormányzati és hadi-hírszerzési ügyfelek miatt különösen érzékeny.

(Guardian)

3 millió forintból mindent elérhetsz

A céljaidhoz elég lenne 3 millió forint? A legjobb személyi kölcsönökkel felújíthatod a lakásod, lecserélheted az autód, de saját vállalkozásodat is beindíthatod. Használd személyi kölcsön kalkulátorunkat és legyen tiéd a legkedvezőbb hitel a törlesztőrészlet nagysága alapján: a CIB Bank Előrelépő személyi kölcsönének 60 654 forint a havi törlesztőrészlete, a THM pedig 8,17 százalék, de szintén kedvező a Raiffeisen Bank ajánlata: a törlesztőrészlet 60 757 forint, a THM pedig 8,92 százalék. A Cetelem Saját Ritmus kölcsönt 61 767 forintos törlesztőrészlettel és 9,47 százalékos THM-mel érhetjük el. A Budapest Bank Prémium kölcsöne havi 64 152 forintos törlesztőrészlettel és 10,50 százalékos THM-mel lehet a miénk. További ajánlatok, esetleg nagyobb hitelösszeg érdekel? Használd ezt a hitelkalkulátort!