Een data-lek blootstellen van miljoenen van biometrische records voor het publiek is terug te voeren op een bedrijf worden gebruikt door de rechtshandhaving, financiële instellingen, de verdediging van aannemers en bedrijven.
Op woensdag, vpnMentor cybersecurity onderzoekers, geleid door Noam Rotem en Liep Locar, zei de informatie was gelekt uit een database aangesloten aan Suprema ‘ s Biostar 2 security platform.
Biostar 2 is beschreven door de verkoper als een web-based integrated security platform “biedt uitgebreide functionaliteit voor toegangscontrole en tijdregistratie” door middel van een modulair kader.
Functies zijn onder andere activiteit log records, externe toegang en integratie met applicaties van derden. Gebruikers worden geïdentificeerd door middel van gezichtsherkenning en vingerafdrukken.
Zie ook: Één van New York ‘ s grootste non-profitorganisaties lijdt data-inbreuk
Suprema ‘s Biostar 2 is sinds kort geïntegreerd met Nedap’ s AEOS toegangscontrole systeem, dat gebruikt wordt door bijna 6.000 organisaties wereldwijd, waaronder ondernemingen, Mkb, overheden, banken, en de BRITSE Metropolitan Police.
Volgens Rotem en Locar, “grote delen van de Biostar 2 de database zijn beveiligd en meestal niet versleuteld.”
Een Elasticsearch database was in gebruik is meestal niet ontworpen met Url ‘ s in gedachten, maar het team was in staat om toegang te krijgen tot de database via een browser en zoekopdrachten uitvoeren van de blootgestelde informatie.
De inbreuk op gegevens gelekt over 27,8 miljoen records, goed voor ongeveer 23GB van gegevens. Onder de informatie gelekt werd meer dan een miljoen vingerafdruk records, afbeeldingen van gebruikers en gekoppeld gezichtsherkenning gegevens, verslagen van de toegang tot de beveiligde zones, medewerker informatie, gebruiker niveaus van beveiliging en vergunningen, personeel persoonlijke gegevens, zoals e-mail en adressen — en het mobiele apparaat records.
Daarnaast is de database gelekt leesbare, niet-versleutelde toegang tot de referenties behoren tot de werknemers, die de cybersecurity onderzoekers zeggen kon worden gebruikt door aanvallers om onbevoegd toegang te krijgen tot beveiligde faciliteiten.
CNET: Die 4G-hotspot kan een broeinest voor hackers
Veel van de accountgegevens gebruikt eenvoudige wachtwoorden zoals “Wachtwoord” of “abcd1234,” die door de rechten niet ooit zou moeten worden toegestaan om te worden gemaakt in de eerste plaats — en zeker niet door een security platform.
vpnMentor zei klanten actief in de zekerheid vervallen zijn coworking bedrijven in de VS, India en Sri Lanka; een medisch bedrijf in het verenigd koninkrijk, doe-het-leveranciers, een traditionele Chinese medische leverancier, festival organisatoren, human resources en bedrijven, onder anderen.
Een lek van deze natuur is een serieuze aangelegenheid. Biometrische informatie kan niet worden gewijzigd op dezelfde manier als een creditcard-nummer, en eenmaal aangetast, is er geen weg terug. Daarnaast is de account overname potentieel en de mogelijkheid om potentieel toevoegen van vingerafdrukken en de afbeeldingen om de rekeningen te knoeien met beveiligde faciliteiten dient te worden beschouwd als alarmerend.
“Hackers kunnen wijzigen van de vingerafdrukken van de bestaande accounts van hun eigen en kapen van een gebruikersaccount toegang tot gebieden waarvoor beperkingen gelden onopgemerkt,” zeggen de onderzoekers. “Hackers en andere criminelen zou kunnen maken van de bibliotheken van de vingerafdrukken worden gebruikt op elk gewenst tijdstip in te voeren ergens zonder te worden ontdekt.”
TechRepublic: Hoe om zich te ontdoen van Google wachtwoorden op uw Android-apparaat
vpnMentor zegt dat na het bereiken van de Biostar 2 twee dagen na ontdekking, op 7 augustus, werd het bedrijf “over het algemeen zeer onwillige tijdens dit proces.”
E-mails mislukt, telefoontjes werden gemaakt en de onderzoekers werden opgehangen, en in één geval, het antwoord was: “we spreken niet om vpnMentor.” Pogingen om contact met de firma ‘ s GDPR compliance officer werden ook genegeerd.
De onderzoekers uiteindelijk in contact met de franse tak van Biostar 2, die werd coöperatieve en de strijd werd afgesloten op 13 augustus. vpnMentor zei:
“Als ethische hackers, zijn we verplicht om uit te reiken naar websites wanneer we ontdekken beveiligingslekken. Dit is vooral het geval wanneer de gegevens van een bedrijf schending van invloed is op zoveel mensen en bevat dergelijke gevoelige gegevens.
Echter, deze ethiek betekent ook wij dragen een verantwoordelijkheid naar het publiek. Biostar 2 klanten en hun medewerkers moeten zich bewust zijn van de risico ‘ s die ze nemen wanneer het gebruik van technologie dat maakt dus weinig moeite om de bescherming van hun gebruikers.”
ZDNet heeft bereikt Suprema en de BRITSE Metropolitan Police en zal updaten als we horen terug.
Vorige en aanverwante dekking
Vier grote dating apps bloot exacte locaties van 10 miljoen gebruikers
Zeemeerminnen transgender liefde data breach blootgesteld vertrouwelijke e-mails
Beveiligde data base bloot 85GB in security logs van grote hotel ketens
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters