Több mint egymillió felhasználó ujjlenyomatait, arcfotóit és személyes adatait tárolták védtelenül
Bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja a Biostar 2 nevű biometrikus azonosító rendszert, mely nyilvánosan elérhető adatbázisban, titkosítás nélkül tárolt borzasztóan érzékeny adatokat.
Óriási adatszivárgást fedezett fel két izraeli internetbiztonsági szakember, melynek jelentését a Guardianhoz juttatták el. Noam Rotem és Ran Locar a vpnmentor virtuális magánhálózatok ellenőrzésére létrehozott rendszerét használva azt találta, hogy a Biostar 2 nevű biometrikus azonosító szolgáltató védtelenül tárolta több mint egymillió felhasználó borzasztóan érzékeny adatait. És most valóban nagyon érzékeny dolgokról van szó: nem csak felhasználónevekről és jelszavakról, de - a biometrikus mivoltból kifolyólag - ujjlenyomatokról és arcfotókról is. És ha mindez még nem lenne elég, a Biostar 2 rendszerét mások mellett bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja, szóval az extra érzékeny adatok ráadásul potenciálisan olyan felhasználókhoz köthetők, aki alapból rendkívül érzékeny helyzetben vannak.
A Suprema biztonsági cég által működtetett Biostar 2-t jellemzően őrzött raktárépületek és irodaépületek beengedőrendszerének központi vezérléséhez használják fel, az ujjlenyomat- és arcellenőrzést végzik el vele. A Suprema a múlt hónapban jelentette be, hogy a rendszert integrálja egy másik, az AEOS nevű szolgáltatásba, melyet világszerte 83 országban használnak. Ez nagyjából 5700 ügyfélt jelent, köztük kormányszervekkel is.
Rotem és Locar egy múlt heti keresés nyomán találtak rá a Biostar 2 adatbázisára, mely védtelen, és java részt titkosítatlan. A webkutatók viszonylag egyszerű módszerrel 27,8 millió feljegyzéshez és 23 gigabájtnyi adathoz fértek hozzá, melyek közt a már említett biometrikus adatok és titkosítatlan felhasználónevek és jelszavak mellett különféle létesítmények beléptetési naplói, biztonsági rendszerek belépési engedélyei és biztonsági személyzetek magánadatai is voltak. Az adathalmazt olyan hanyagul tárolták, hogy a két szakember még adminisztrátori jelszavakat is talált teljesen titkosítatlanul, tehát úgy, hogy a jelszavak tisztán ott virítottak előttük a képernyőn, egyszerű karaktersorként.
A kutatók azt mondják, az adatok felhasználásával, a biometrikus azonosításokat megfigyelve valós időben lekövethető, ahogy az épp kiszemelt személy belép egy létesítménybe, sőt, az is látszik, hogy aztán adott létesítményen belül melyik szobába megy be. A páros ezen kívül képes volt manipulálni a talált adatokat, és új felhasználókat ültetni a rendszerbe. Ez a gyakorlatban azt jelenti, hogy képesek egy már létező, regisztrált felhasználóhoz tartozó ujjlenyomatot és fotót kicserélni egy másikra, például a sajátjukra, így pedig belépést nyerni őrzött objektumokba. Vagy egy már létező felhasználó biometrikus adatait ellopva létre tudnak hozni egy új, érvényes felhasználót, a meglopott felhasználóéval megegyező belépési engedélyekkel. A kutatók gyakorlati példaként felhozták, hogy hozzáfértek mások mellett amerikai és indonéz szervezetek, indiai és pakisztáni edzőtermek, valamint egy brit gyógyszergyártó és egy finn autóparkoló cég beléptetési rendszeréhez is.
Hogy védtelenül tárolták az adatokat, az azért különösen aggasztó, mert egy kiszivárgott jelszót meg lehet változtatni, de az ujjlenyomatunkat nem, annak másolatát pedig el lehet adni rosszindulatú feleknek.
A kutatópáros többször is megkereste kérdéseivel a Supremat, de a cég nem reagált. Rotem és Locar ezek után küldte el a jelentést a Guardiannek. Az adatbázis sebezhetősége ausztrál idő szerint szerdán korán reggel megszűnt, de a biztonsági cég eztután sem válaszolt a szakembereknek. A Guardiannek viszont igen, annyit, hogy mélységében megvizsgálják az esetet, és ha úgy látják, valóban közvetlen veszélynek tették ki az ügyfeleiket, akkor előállnak egy hivatalos bejelentéssel.
Az adatbázisok elégtelen védelme egyébként meglehetősen mindennapi probléma Rotem szerint. A szakember azt mondja, heti három-négy céggel veszi fel ilyen ügyekben a kapcsolatot - ő volt az, aki az év elején feltárta az Amadeus repülőjegy-foglaló rendszer sebezhetőségét is. A most felfedezett probléma viszont mind a biometrikus adatok, mind a kormányzati és hadi-hírszerzési ügyfelek miatt különösen érzékeny.
(Guardian)
Címlapon
Miért nem gyengül az a fránya forint, ha mindenki azt várja?
Miközben az MNB-nek hivatalosan nincs árfolyamcélja, a külföldiek már rég berendezkedtek arra, hogy a magyar jegybank folyamatosan a gyengébb szintek felé terelgeti a forintot. Mostanra úgy tűnik, belföldön is elfogadták az intézmények a folyamatot - ha azonban a grafikonok mögé tekintünk, azt látjuk, új szelek támadhatnak a devizapiacon. Külső szakértőnk jegyzete.
- Miért nem gyengül az a fránya forint, ha mindenki azt várja?
- Lehet, hogy az év utolsó heteiben járnak pórul a nyugdíjasok
- Karácsonyék visszavennék az FCSM-et, de előbb milliárdos osztalékot fizetnek ki
- Júliustól új tb-járulékot fizetünk
- Kína ajtót mutat az amerikai tech cégeknek
- Óriási károkat okoz Surányi György szerint a MÁP+
- Ha tényleg a készpénzt szerették volna csökkenteni, akkor bukás a MÁP+
- Trump és a maffiafőnökök – a szervezett alvilágból a politikai elitbe
- Nem nyúlt a kamatokhoz a Fed, sőt jövőre sem fog
További cikkek
-
Kína ajtót mutat az amerikai tech cégeknek
Három éven belül az összes kínai kormányhivatalban és állami intézményben helyi gyártásúra kell cserélni az idegen számítógépes eszközöket és szoftvereket. Az intézkedés 20-30 millió hardver lecserélését jelentheti, az amerikai gyártók pedig évi 150 milliárd dolláros megrendeléstől is eleshetnek. Tovább
-
Karácsonyék visszavennék az FCSM-et, de előbb milliárdos osztalékot fizetnek ki
Az új városvezetés továbbra is visszavásárolná a Fővárosi Csatornázási Művek korábban eladott tulajdonrészét, de előbb még kifizet 4 milliárd osztalékot a külföldi tulajdonosnak. Így megúszhatják 16 milliárd kifizetését. Tovább
-
Ha tényleg a készpénzt szerették volna csökkenteni, akkor bukás a MÁP+
Töretlenül növekedett tovább a készpénzállomány, derült ki az MNB által közzétett statisztikai mérlegből. Ugyan a trend az előző hónapokban is ezt mutatta, felmerül ugyanakkor, hogy a MÁP+-ba vándorolt 2500 milliárd forintnak mi lehetett a forrása? Tovább
-
Greta Thunberg lett az év embere a Time-nál
A svéd klímaaktivista tinédzser az egész generációjának a jelképe, írják. Tovább
-
Lehet, hogy az év utolsó heteiben járnak pórul a nyugdíjasok
Az átlagos nyugdíjas infláció 3,4 százalék volt január és november között, miközben az élelmiszereknél 5,36 százalék jön ki átlagosan ugyanebben az időszakban. Tovább
-
Óriási károkat okoz Surányi György szerint a MÁP+
Az MNB korábbi elnöke komoly kritikával illette az utóbbi időben óriási népszerűségnek örvendő állampapírt, a MÁP+-ot, szerinte komoly károkat okozhat a jövőben. Tovább
-
3,1 százalékkal nőtt a mezőgazdaság termelési értéke idén
A gabonafélék, az élő állatok és a burgonya kivételével a mezőgazdasági termékek termelése stagnált vagy csökkent. Tovább
-
Trump és a maffiafőnökök – a szervezett alvilágból a politikai elitbe
Trumpnak a Scorsese-filmben feldolgozott több maffiacsalád fejével is közvetlen személyes- és üzleti kapcsolata volt. Tovább
-
Aláírták az új amerikai-kanadai-mexikói kereskedelmi egyezményt
A NAFTA a múlté, itt az USMCA. Tovább
-
A Főtáv vezérigazgatója a választások előtt ütött nyélbe egy kétmilliárdos üzletet
Közvetlenül az önkormányzati választás előtti napon kötött három évre szóló kétmilliárdos létesítményüzemeltetési szerződést a Főtáv, amelynek vezérigazgatóját hétfőn menesztette Karácsony Gergely főpolgármester. Tovább
-
Rossz hírt kapott Boris Johnson, de túl fogja élni
A brit gazdaság már nem növekszik tovább, aminek egyik fő oka a Brexittel járó bizonytalanság. Az augusztus-október közötti időszak a leggyengébb három hónap volt 2009 eleje óta. Ez azonban már aligha akasztja meg Boris Johnsont, pártja az előrejelzések szerint fölényesen nyeri a csütörtöki előrehozott parlamenti választást. Tovább
-
Új magyar Leopard-tankok: félelmetes ragadozó vagy fogatlan oroszlán?
Nagy kérdés, hogy mit kapunk: az ütőképes páncéloserő-fejlesztés első lépését, vagy csak néhány fogatlan oroszlánt? Tovább
-
Luxuscikk lesz lassan a párizsi
Egészen megdöbbentő helyzetet eredményezett a sertéshúsok drasztikus áremelkedése. Tovább
-
A nap képe: ilyen csinos miniszterelnöknőt már rég látott a világ
Tegnap füstöltek a szervereink Sanna Marin kinevezésének hírére, ezért most röviden be is mutatjuk a világ legfiatalabb miniszterelnökét. Tovább
-
Így drágult meg az életünk novemberben
3,4 százalékkal nőttek az árak. Tovább
-
Putyin és Zelenszkij megállapodtak a fogolycserében
Szilveszterig végre is hajtják, állapodtak meg a vezetők a "normandiai négyek" csúcson. Tovább
-
Brutális fegyvereladások a világban – növekvő amerikai dominancia
Tizenhat év után először fordult elő tavaly, hogy a világ öt legnagyobb fegyvergyártója amerikai volt. Káncz Csaba jegyzete. Tovább
-
Putyin: a WADA határozata ellentétes az Olimpiai Chartával
"A WADA-nak az Orosz Olimpiai Bizottsággal szemben nincsen kifogása. Ha pedig nincs ellene kifogása, akkor az országnak a nemzeti lobogó alatt kell szerepelnie." Tovább
-
Értékhatár nélkül, közpénzből fejleszthetnek a sportklubok
Addig csűrték-csavarták a társasági adóról szóló törvény vonatkozó passzusait, míg végül bárki, bármilyen ingatlanfejlesztést az utolsó fillérig közpénzből finanszírozhat. Tovább
-
Az utolsó pillanatban ússzák meg a cégek a brutális bírságot
A minimálbér négyszeresénél indult volna a szankcionálás, de egy bizottsági módosító megsemmisíti Kásler Miklós javaslatát. Erőt mutat az ágazati lobbi. Tovább
Videók
Utánajártunk
Privátbankár Árkosár
Hírlevél
Feliratkozáshoz kérjük adja meg e-mail címét:
Exkluzív interjúk
-
Ahol a portfoliómenedzserek szabad kezet kapnak – Köves Benedek
-
Mit tegyen most az, aki lakásra szeretne spórolni? – Török Lajos
-
Ha nincs magyar reálkamat, fektessünk más devizába – Kovács Szilárd
-
Az orosz medvéből orosz bika lesz? – Pálfi György
-
2020-2021 vízválasztó lehet a hazai bankrendszerben – Jelasity Radován
-
Nem kell félni szembemenni a piaccal – Czifra Gábor
-
Nem sikervállalkozóból, hanem sikerbefektetőből van igazán kevés – Oszkó Péter
-
Száz vállalati bankot is elbírna a magyar piac – Kovács Levente
