Выявлена масштабная утечка биометрических данных
15 авг 2019 15:40 #84394
от ICT
ICT создал тему: Выявлена масштабная утечка биометрических данных
Израильские эксперты по информационной безопасности Ноам Ротем (Noam Rotem) и Рен Локар (Ran Locar) обнаружили в открытом доступе огромную базу конфиденциальных данных, включая отпечатки пальцев более одного миллиона человек, фотографии, незашифрованные имена и пароли пользователей, а также персональную информацию сотрудников различных компаний. Как
сообщает
британское издание The Guardian, среди организаций, которые могла затронуть масштабная утечка - полиция Лондона, оборонные подрядчики и банки. Как выяснили специалисты, оплошность допустил южнокорейский разработчик
Suprema
, продукты которого используются более чем в 110 странах мира. Компания предлагает клиентам веб-платформу Biostar 2 для организации контроля доступа, учёта рабочего времени и посещаемости с помощью технологий распознавание отпечатков пальцев и лиц, а также оборудование для считывания биометрических данных и сопутствующие приложения. По имеющейся информации, Suprema входит в число 50 ведущих мировых производителей решений для обеспечения безопасности и лидирует по доле на рынке систем биометрического контроля доступа в регионе EMEA (Европа, Ближний Восток и Африка). В июле 2019 года Suprema в рамках партнёрства с голландским коллегой по отрасли Nedap договорилась об интеграции своей платформы BioStar 2 с системой контроля доступа AEOS, которую используют 5700 организаций в 83 странах мира, в том числе правительственные, финансовые и Скотленд-Ярд. Ротем и Локар в ходе совместного исследования с командой портала vpnMentor, специализирующегося на оценке VPN-сервисов, обнаружили в интернете открытую базу данных ElasticSearch, принадлежащую Suprema. Хранящаяся в ней информация оказалась незащищенной и по большей части незашифрованной. Изменяя критерии поиска URL-адресов в ElasticSearch, ИБ-эксперты без труда смогли просмотреть содержимое БД - в общей сложности более 27,8 миллионов записей суммарным объемом 23 Гб. Открытыми находились панели администрирования и управления, биометрические данные (отпечатки пальцев и фотографии), незашифрованные логины и пароли пользователей, журналы посетителей, сведения об уровне доступа и персональные данные сотрудников организаций. Более того, специалисты даже могли менять данные и добавлять новых пользователей. Другими словами, будь на месте исследователей злоумышленники, они бы могли отредактировать учетную запись существующего пользователя и заменить отпечатки пальцев на свои, что открыло бы им доступ в здания и помещения, в которые разрешено заходить настоящему сотруднику. Киберпреступники могли бы проникнуть на закрытую территорию, если бы создали новую учетную запись со своими отпечатками и фото. Серьезность утечки усугубляется тем, что речь идет о биометрических данных, которые пользователи не могут изменить, в отличие от паролей и логинов. Прежде чем
обнародовать
информацию, Ротем и Локар многократно пытались связаться с представителями Suprema по электронной почте, но не дождались ответа. Лишь после звонка во французское представительство Suprema доступ к данным наконец-то был закрыт. Это произошло в среду, 14 августа, хотя первые попытки установить контакт с разработчиком датируются 7 августа. Специалисты не берутся называть точное число людей, которые могли пострадать в результате допущенной Suprema ошибки. Учитывая, что платформа насчитывает более 1,5 миллиона установок по всему миру, речь идет о десятках миллионов человек, говорится в отчёте по результатам проведенного исследования. Что интересно, представители Suprema так и не вышли на связь с ИБ-экспертами. В комментарии изданию The Guardian, которое первым сообщило о найденной уязвимости, глава Suprema по маркетингу Энди Ан (Andy Ahn) заявил, что компания провела "тщательную оценку" информации, предоставленной vpnMentor, и уведомит своих клиентов в случае наличия угрозы. Впрочем, по словам Ротема, ситуация с Suprema далеко не уникальна, и в открытом доступе можно найти в буквальном смысле миллионы систем, многие из которых весьма уязвимы.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Масштабная утечка маршрутов BGP сказалась на работе тысяч интернет-ресурсов | 16.07 | Вторник, 20 апреля 2021 |
Масштабная утечка об iPhone 7, iPhone 7 Plus и iPhone 7 Pro | 12.42 | Пятница, 03 июня 2016 |
ВТБ начал сбор биометрических данных клиентов | 11.85 | Понедельник, 02 июля 2018 |
ИЦ «АйТеко» внедрил в ВТБ систему сбора биометрических данных | 11.73 | Вторник, 07 августа 2018 |
«Ростелеком» расширит возможности применения биометрических данных | 11.73 | Понедельник, 14 октября 2019 |
Минцифры предложило правила подтверждения биометрических данных | 11.73 | Четверг, 18 марта 2021 |
«Ростелеком» разрабатывает криптомодуль для защиты биометрических данных | 11.73 | Понедельник, 29 марта 2021 |
Крупнейший в мире банк биометрических данных взломан за $8 и 10 минут | 11.6 | Среда, 10 января 2018 |
«Альфа-Банк» начал сбор биометрических данных граждан РФ | 11.6 | Понедельник, 02 июля 2018 |
«Криптобиокабина» «Ростеха» упростит сбор данных для биометрических загранпаспортов | 11.6 | Четверг, 05 июля 2018 |