Otisky prstů i osobní údaje. Bezpečnostní firma nechala na internetu 23 gigabytů nechráněných dat

Téměř 28 milionů záznamů o velikosti 23 gigabytů – to je množství citlivých dat, ke kterým se bylo ještě na začátku tohoto týdne možné dostat. Data, jejichž zabezpečení měl na starosti webový biometrický zámek BioStar 2, byla podle zjištění serveru The Guardian nechráněná a z většiny nezašifrovaná. Vědci, kteří selhání odhalili, s nimi mohli manipulovat, stahovat je, mazat nebo přidávat.

Londýn Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Biometrické údaje bylo z databáze možné stahovat (ilustrační foto) | Zdroj: Profimedia

Databáze například obsahovala otisky prstů, rozpoznání obličejů, nezašifrovaná přihlašovací jména a hesla, osobní data o zaměstnancích, jejich fotografie a záznamy o příchodech a odchodech.

Bezpečnostní selhání odhalila dvojice izraelských vědců Noam Rotem a Ran Locar spolupracujících s platformou vpnMentor, která kontroluje služby virtuálních privátních sítí a bokem se zaobírá hledáním děr v systémech různých společností.

Hackeři podnikli phishingový útok na evropské experty na ruskou problematiku. Mezi cíli byli i Češi

Číst článek

Únik dat z BioStar 2 objevili ve fulltextovém vyhledávači Elasticsearch a po manipulaci s URL adresou do ní získali přístup. Dostali se mimo jiné k více než jednomu milionu otisků prstů. „Našli jsme třeba textový soubor s hesly pro účty správců,“ popsal Rotem pro server The Guardian, který na kauzu upozornil.

Přístupná citlivá data

Za webový biometrický zámek BioStar 2 je zodpovědná bezpečnostní firma Suprema - jedna z 50 nejlepších firem vyrábějící zabezpečení, jejíž služby využívá přes miliardu lidí. Zámek se používá pro zabezpečení zařízení, jako jsou kanceláře nebo sklady. Pro identifikaci nejčastěji používá otisky prstů a rozpoznání obličejů, tedy data, jež Rotem a Locarem v databázi našli.

Suprema přitom minulý měsíc oznámila, že Biostar 2 sjednocuje se systémem AEOS. Ten používá přes 5,5 tisíc organizací v 83 státech světa.

Ve zprávě, kterou vpnMentor k úniku zveřejnil, vědci píší, že si mohli prohlédnout citlivá data amerického výrobce léčiv Phoenix Medical, britských firem Tile Mountain a Farla Medical, finského vývojáře parkovacích ploch Euro Park nebo řetězce indických a srílanských posiloven Power World Gyms.

The Guardian k tomu upozornil, že BioStar 2 používají britské banky, dodavatelské firmy, ale i metropolitní policie.

‚Moc nespolupracuje‘

Podle Rotema není incident nic ojedinělého. „Je to poměrně častý problém. Existují doslova miliony otevřených systémů,“ řekl.

Museli přesně vědět, kdo má jaký e-mail, říká analytik Kalenský k napadení svého účtu

Číst článek

Za největší nebezpečí považuje data o rozpoznání obličejů otiscích prstů, která šlo v tomto případě i stáhnout. Otisk prstu a kontury obličeje totiž nelze změnit jako třeba heslo. „Jakmile jsou jednou ukradeny, nejde to vrátit.“ Vědce překvapil i fakt, že databáze obsahovala skutečné otisky prstů, nikoli jen jejich otisk neboli hash.

VpnMentor se s firmou Suprema pokusil opakovaně spojit ještě před tím, než svá zjištění publikoval. „Shledali jsme, že BioStar 2 moc nespolupracuje,“ píše. Uniklou databázi se vědcům spolu s francouzskou pobočkou Supremy podařilo zabezpečit až po osmi dnech od zjištění, že je volně přístupná.

Serveru The Guardian na otázky ohledně úniku odpověděl vedoucí marketingu Andy Ahn pouze tak, že společnost v současnosti provádí „hloubkové vyhodnocení“ získaných informací od vpnMentoru. Své klienty bude informovat, pokud zjistí, že jejich datům hrozilo nebezpečí. S dvojici vědců ale firma komunikovat nechce.

„Někomu může být nepříjemné, když poukazujeme na jeho zranitelná místa. Někteří naše zjištění vezmou jako příležitost ke zlepšení, jiní se cítí uraženi,“ podotkl Rotem k reakci společnosti.

Biometrický systém

  • Používá se k identifikaci na základě jedinečných biologických vlastností osoby
  • V praxi nahrazuje heslo nebo token
  • Biometrické vlastnosti se dělí na dva typy – behaviorální vlastnosti a fyziologické vlastnosti
  • Behaviorální vlastnosti označují jedinečný způsob, jakým se jedinec chová; k identifikaci dochází například podle způsobu psaní (na klávesnici), chůze nebo gestikulace
  • Mezi autentizaci na základě fyziologických vlastností patří otisky prstů, rozpoznání obličeje, hlasu, žilních map, oční duhovky, nebo skenování oční sítnice 
  • Slovo biometrický vychází z řeckých výrazů bio (život) a metric (měřit)

mpr Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme