Több mint egymillió felhasználó ujjlenyomatait, arcfotóit és személyes adatait tárolták védtelenül

Óriási adatszivárgást fedezett fel két izraeli internetbiztonsági szakember, melynek jelentését a Guardianhoz juttatták el. Noam Rotem és Ran Locar a vpnmentor virtuális magánhálózatok ellenőrzésére létrehozott rendszerét használva azt találta, hogy a Biostar 2 nevű biometrikus azonosító szolgáltató védtelenül tárolta több mint egymillió felhasználó borzasztóan érzékeny adatait. És most valóban nagyon érzékeny dolgokról van szó: nem csak felhasználónevekről és jelszavakról, de - a biometrikus mivoltból kifolyólag - ujjlenyomatokról és arcfotókról is. És ha mindez még nem lenne elég, a Biostar 2 rendszerét mások mellett bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja, szóval az extra érzékeny adatok ráadásul potenciálisan olyan felhasználókhoz köthetők, aki alapból rendkívül érzékeny helyzetben vannak.

A Suprema biztonsági cég által működtetett Biostar 2-t jellemzően őrzött raktárépületek és irodaépületek beengedőrendszerének központi vezérléséhez használják fel, az ujjlenyomat- és arcellenőrzést végzik el vele. A Suprema a múlt hónapban jelentette be, hogy a rendszert integrálja egy másik, az AEOS nevű szolgáltatásba, melyet világszerte 83 országban használnak. Ez nagyjából 5700 ügyfélt jelent, köztük kormányszervekkel is.

Rotem és Locar egy múlt heti keresés nyomán találtak rá a Biostar 2 adatbázisára, mely védtelen, és java részt titkosítatlan. A webkutatók viszonylag egyszerű módszerrel 27,8 millió feljegyzéshez és 23 gigabájtnyi adathoz fértek hozzá, melyek közt a már említett biometrikus adatok és titkosítatlan felhasználónevek és jelszavak mellett különféle létesítmények beléptetési naplói, biztonsági rendszerek belépési engedélyei és biztonsági személyzetek magánadatai is voltak. Az adathalmazt olyan hanyagul tárolták, hogy a két szakember még adminisztrátori jelszavakat is talált teljesen titkosítatlanul, tehát úgy, hogy a jelszavak tisztán ott virítottak előttük a képernyőn, egyszerű karaktersorként.

A kutatók azt mondják, az adatok felhasználásával, a biometrikus azonosításokat megfigyelve valós időben lekövethető, ahogy az épp kiszemelt személy belép egy létesítménybe, sőt, az is látszik, hogy aztán adott létesítményen belül melyik szobába megy be. A páros ezen kívül képes volt manipulálni a talált adatokat, és új felhasználókat ültetni a rendszerbe. Ez a gyakorlatban azt jelenti, hogy képesek egy már létező, regisztrált felhasználóhoz tartozó ujjlenyomatot és fotót kicserélni egy másikra, például a sajátjukra, így pedig belépést nyerni őrzött objektumokba. Vagy egy már létező felhasználó biometrikus adatait ellopva létre tudnak hozni egy új, érvényes felhasználót, a meglopott felhasználóéval megegyező belépési engedélyekkel. A kutatók gyakorlati példaként felhozták, hogy hozzáfértek mások mellett amerikai és indonéz szervezetek, indiai és pakisztáni edzőtermek, valamint egy brit gyógyszergyártó és egy finn autóparkoló cég beléptetési rendszeréhez is.

Hogy védtelenül tárolták az adatokat, az azért különösen aggasztó, mert egy kiszivárgott jelszót meg lehet változtatni, de az ujjlenyomatunkat nem, annak másolatát pedig el lehet adni rosszindulatú feleknek.

A kutatópáros többször is megkereste kérdéseivel a Supremat, de a cég nem reagált. Rotem és Locar ezek után küldte el a jelentést a Guardiannek. Az adatbázis sebezhetősége ausztrál idő szerint szerdán korán reggel megszűnt, de a biztonsági cég eztután sem válaszolt a szakembereknek. A Guardiannek viszont igen, annyit, hogy mélységében megvizsgálják az esetet, és ha úgy látják, valóban közvetlen veszélynek tették ki az ügyfeleiket, akkor előállnak egy hivatalos bejelentéssel.

Az adatbázisok elégtelen védelme egyébként meglehetősen mindennapi probléma Rotem szerint. A szakember azt mondja, heti három-négy céggel veszi fel ilyen ügyekben a kapcsolatot - ő volt az, aki az év elején feltárta az Amadeus repülőjegy-foglaló rendszer sebezhetőségét is. A most felfedezett probléma viszont mind a biometrikus adatok, mind a kormányzati és hadi-hírszerzési ügyfelek miatt különösen érzékeny.

(Guardian)