Furtul de date biometrice ar putea compromite securitatea biometrică
Furnizorul unei platforme de control acces biometric nu a securizat corespunzător o bază de date cu informații biometrice, ceea ce reprezintă o problemă majoră pe care compania o minimalizează.
Cercetătorii din domeniul securității spun că o companie din Coreea de Sud care produce o platformă de control acces biometric a expus înregistrări ale amprentelor, informații ale procesului de recunoaștere facială și informații personale pentru că nu a securizat corespunzător o bază de date Elasticsearch, scrie bankinfosecurity.com.
Suprema, care dezvoltă platforma de control acces numită BioStar 2, a lăsat nesecurizate pe internet 23GB de informații care includ 27,8 milioane de înregistrări, conform vpnMentor, un website care analizează site-urile VPN. Platforma poate fi folosită pentru a administra accesul la uși și lifturi folosind dispozitive precum carduri smart și cititoare de amprente.
Baza de date a fost descoperită de cercetătorii israelieni Noam Rotem și Ran Locar, care sunt renumiți pentru descoperirea de informații sensibile expuse. Cei doi au putut accesa baza de date prin intermediul unui browser web și au putut folosi funcția de căutare pentru a expune mari cantități de informații.
Suprema a declarat că a închis punctul de acces și că o investigație a descoperit că proporțiile breșei ar fi semnificativ mai reduse față de raportul cercetătorilor, relatează bbc.com.
Cu toate acestea, cercetătorii în securitate își susțin în continuare cercetarea. Noam Rotem a declarat pentru BBC News că dovezile obținute au indicat de fapt că mari cantități de informații biometrice au fost expuse online. Rotem, împreună cu colegul său Ran Locar au colaborat cu firma de securitate cibernetică VPNMentor pentru a face publică breșa.
Suprema produce o serie de dispozitive, inclusiv cititoare amprentă care permit companiilor să controleze accesul unor zone specifice ale locațiilor sau clădirilor. „Săptămâna trecută, am fost anunțați că unele informații ale clienților BioStar 2 au fost accesate fără autorizație de către cercetători în securitate terți pentru o perioadă de timp limitată”, a declarat compania. „Pe baza investigațiilor făcute până în prezent nu există indicii care să arate că informațiile au fost descărcate în timpul incidentului. De asemenea, am angajat o firmă de investigații lider la nivel mondial pentru a conduce o investigație amănunțită a incidentului. Pe baza anchetei lor de până acum, au confirmat că nu a avut loc accesări suplimentare și că sfera utilizatorilor potențial afectați este semnificativ mai mică decât speculațiile publice recente.”
Suprema a adăugat că se află în cursul unui proces de identificare a părților afectate și contactarea autorităților de reglementare relevante. Există îngrijorări cu privire la faptul că unul dintre clienții afectați ar fi Poliția Metropolitană, care ar utiliza tehnologia celor de la Suprema.
Cercetătorii spun că nu au încercat să descarce conținutul bazei de date din rațiuni etice. În schimb au luat sute de mostre. Acestea par să cripteze modelele de amprente. Cercetătorii au folosit apoi software-ul Suprema pentru a converti aproximativ șase exemple în modele de amprentă vizibile.