Téměř 28 milionů záznamů o velikosti 23 gigabytů – to je množství citlivých dat, ke kterým se bylo ještě na začátku tohoto týdne možné dostat. Data, jejichž zabezpečení měl na starosti webový biometrický zámek BioStar 2, byla podle zjištění serveru The Guardian nechráněná a z většiny nezašifrovaná. Vědci, kteří selhání odhalili, s nimi mohli manipulovat, stahovat je, mazat nebo přidávat.

Tento článek je více než rok starý.

Londýn 8:00 16. srpna 2019 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Databáze například obsahovala otisky prstů, rozpoznání obličejů, nezašifrovaná přihlašovací jména a hesla, osobní data o zaměstnancích, jejich fotografie a záznamy o příchodech a odchodech.

Bezpečnostní selhání odhalila dvojice izraelských vědců Noam Rotem a Ran Locar spolupracujících s platformou vpnMentor, která kontroluje služby virtuálních privátních sítí a bokem se zaobírá hledáním děr v systémech různých společností.

Hackeři podnikli phishingový útok na evropské experty na ruskou problematiku. Mezi cíli byli i Češi

Číst článek

Únik dat z BioStar 2 objevili ve fulltextovém vyhledávači Elasticsearch a po manipulaci s URL adresou do ní získali přístup. Dostali se mimo jiné k více než jednomu milionu otisků prstů. „Našli jsme třeba textový soubor s hesly pro účty správců,“ popsal Rotem pro server The Guardian, který na kauzu upozornil.

Přístupná citlivá data

Za webový biometrický zámek BioStar 2 je zodpovědná bezpečnostní firma Suprema - jedna z 50 nejlepších firem vyrábějící zabezpečení, jejíž služby využívá přes miliardu lidí. Zámek se používá pro zabezpečení zařízení, jako jsou kanceláře nebo sklady. Pro identifikaci nejčastěji používá otisky prstů a rozpoznání obličejů, tedy data, jež Rotem a Locarem v databázi našli.

Suprema přitom minulý měsíc oznámila, že Biostar 2 sjednocuje se systémem AEOS. Ten používá přes 5,5 tisíc organizací v 83 státech světa.

Ve zprávě, kterou vpnMentor k úniku zveřejnil, vědci píší, že si mohli prohlédnout citlivá data amerického výrobce léčiv Phoenix Medical, britských firem Tile Mountain a Farla Medical, finského vývojáře parkovacích ploch Euro Park nebo řetězce indických a srílanských posiloven Power World Gyms.

The Guardian k tomu upozornil, že BioStar 2 používají britské banky, dodavatelské firmy, ale i metropolitní policie.

‚Moc nespolupracuje‘

Podle Rotema není incident nic ojedinělého. „Je to poměrně častý problém. Existují doslova miliony otevřených systémů,“ řekl.

Museli přesně vědět, kdo má jaký e-mail, říká analytik Kalenský k napadení svého účtu

Číst článek

Za největší nebezpečí považuje data o rozpoznání obličejů otiscích prstů, která šlo v tomto případě i stáhnout. Otisk prstu a kontury obličeje totiž nelze změnit jako třeba heslo. „Jakmile jsou jednou ukradeny, nejde to vrátit.“ Vědce překvapil i fakt, že databáze obsahovala skutečné otisky prstů, nikoli jen jejich otisk neboli hash.

VpnMentor se s firmou Suprema pokusil opakovaně spojit ještě před tím, než svá zjištění publikoval. „Shledali jsme, že BioStar 2 moc nespolupracuje,“ píše. Uniklou databázi se vědcům spolu s francouzskou pobočkou Supremy podařilo zabezpečit až po osmi dnech od zjištění, že je volně přístupná.

Serveru The Guardian na otázky ohledně úniku odpověděl vedoucí marketingu Andy Ahn pouze tak, že společnost v současnosti provádí „hloubkové vyhodnocení“ získaných informací od vpnMentoru. Své klienty bude informovat, pokud zjistí, že jejich datům hrozilo nebezpečí. S dvojici vědců ale firma komunikovat nechce.

„Někomu může být nepříjemné, když poukazujeme na jeho zranitelná místa. Někteří naše zjištění vezmou jako příležitost ke zlepšení, jiní se cítí uraženi,“ podotkl Rotem k reakci společnosti.

mpr Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít