4p

Mi legyen a pénzünkkel? Tegyük állampapírba? Részvénybe? Ingatlanba? Kriptóba?
A befektetésektől a vagyonkezelésig - újra itt a Klasszis Klub Live!

Jöjjön el személyesen, találkozzon neves szakértőkkel vagy csatlakozzon online!

2024. március 27. 17:00

Részletek és jelentkezés itt!

Bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja a Biostar 2 nevű biometrikus azonosító rendszert, mely nyilvánosan elérhető adatbázisban, titkosítás nélkül tárolt borzasztóan érzékeny adatokat.

Óriási adatszivárgást fedezett fel két izraeli internetbiztonsági szakember, melynek jelentését a Guardianhoz juttatták el. Noam Rotem és Ran Locar a vpnmentor virtuális magánhálózatok ellenőrzésére létrehozott rendszerét használva azt találta, hogy a Biostar 2 nevű biometrikus azonosító szolgáltató védtelenül tárolta több mint egymillió felhasználó borzasztóan érzékeny adatait. És most valóban nagyon érzékeny dolgokról van szó: nem csak felhasználónevekről és jelszavakról, de - a biometrikus mivoltból kifolyólag - ujjlenyomatokról és arcfotókról is. És ha mindez még nem lenne elég, a Biostar 2 rendszerét mások mellett bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja, szóval az extra érzékeny adatok ráadásul potenciálisan olyan felhasználókhoz köthetők, aki alapból rendkívül érzékeny helyzetben vannak.

A Suprema biztonsági cég által működtetett Biostar 2-t jellemzően őrzött raktárépületek és irodaépületek beengedőrendszerének központi vezérléséhez használják fel, az ujjlenyomat- és arcellenőrzést végzik el vele. A Suprema a múlt hónapban jelentette be, hogy a rendszert integrálja egy másik, az AEOS nevű szolgáltatásba, melyet világszerte 83 országban használnak. Ez nagyjából 5700 ügyfélt jelent, köztük kormányszervekkel is.

Rotem és Locar egy múlt heti keresés nyomán találtak rá a Biostar 2 adatbázisára, mely védtelen, és java részt titkosítatlan. A webkutatók viszonylag egyszerű módszerrel 27,8 millió feljegyzéshez és 23 gigabájtnyi adathoz fértek hozzá, melyek közt a már említett biometrikus adatok és titkosítatlan felhasználónevek és jelszavak mellett különféle létesítmények beléptetési naplói, biztonsági rendszerek belépési engedélyei és biztonsági személyzetek magánadatai is voltak. Az adathalmazt olyan hanyagul tárolták, hogy a két szakember még adminisztrátori jelszavakat is talált teljesen titkosítatlanul, tehát úgy, hogy a jelszavak tisztán ott virítottak előttük a képernyőn, egyszerű karaktersorként.

A kutatók azt mondják, az adatok felhasználásával, a biometrikus azonosításokat megfigyelve valós időben lekövethető, ahogy az épp kiszemelt személy belép egy létesítménybe, sőt, az is látszik, hogy aztán adott létesítményen belül melyik szobába megy be. A páros ezen kívül képes volt manipulálni a talált adatokat, és új felhasználókat ültetni a rendszerbe. Ez a gyakorlatban azt jelenti, hogy képesek egy már létező, regisztrált felhasználóhoz tartozó ujjlenyomatot és fotót kicserélni egy másikra, például a sajátjukra, így pedig belépést nyerni őrzött objektumokba. Vagy egy már létező felhasználó biometrikus adatait ellopva létre tudnak hozni egy új, érvényes felhasználót, a meglopott felhasználóéval megegyező belépési engedélyekkel. A kutatók gyakorlati példaként felhozták, hogy hozzáfértek mások mellett amerikai és indonéz szervezetek, indiai és pakisztáni edzőtermek, valamint egy brit gyógyszergyártó és egy finn autóparkoló cég beléptetési rendszeréhez is.

Hogy védtelenül tárolták az adatokat, az azért különösen aggasztó, mert egy kiszivárgott jelszót meg lehet változtatni, de az ujjlenyomatunkat nem, annak másolatát pedig el lehet adni rosszindulatú feleknek.

A kutatópáros többször is megkereste kérdéseivel a Supremat, de a cég nem reagált. Rotem és Locar ezek után küldte el a jelentést a Guardiannek. Az adatbázis sebezhetősége ausztrál idő szerint szerdán korán reggel megszűnt, de a biztonsági cég eztután sem válaszolt a szakembereknek. A Guardiannek viszont igen, annyit, hogy mélységében megvizsgálják az esetet, és ha úgy látják, valóban közvetlen veszélynek tették ki az ügyfeleiket, akkor előállnak egy hivatalos bejelentéssel.

Az adatbázisok elégtelen védelme egyébként meglehetősen mindennapi probléma Rotem szerint. A szakember azt mondja, heti három-négy céggel veszi fel ilyen ügyekben a kapcsolatot - ő volt az, aki az év elején feltárta az Amadeus repülőjegy-foglaló rendszer sebezhetőségét is. A most felfedezett probléma viszont mind a biometrikus adatok, mind a kormányzati és hadi-hírszerzési ügyfelek miatt különösen érzékeny.

(Guardian)

LEGYEN ÖN IS ELŐFIZETŐNK!

Szerkesztőségünkben mindig azon dolgozunk, hogy higgadt hangvételű, tárgyilagos és magas szakmai színvonalú írásokat nyújtsunk Olvasóink számára.
Előfizetőink máshol nem olvasott, minőségi tartalomhoz jutnak hozzá havonta már 1490 forintért.
Előfizetésünk egyszerre nyújt korlátlan hozzáférést az Mfor.hu és a Privátbankár.hu tartalmaihoz, a Klub csomag pedig egyebek között a Piac és Profit magazin teljes tartalmához hozzáférést és hirdetés nélküli olvasási lehetőséget is tartalmaz.


Mi nap mint nap bizonyítani fogunk! Legyen Ön is előfizetőnk!

Makro / Külgazdaság A sor végére zavarták a forintot
Privátbankár.hu | 2024. március 19. 06:40
A zloty és a cseh korona is jobban teljesít az idén, mint a forint. 
Makro / Külgazdaság Orbán Viktor elszámította magát az akkugyárakkal, bukhatjuk a terveket
Király Béla | 2024. március 19. 05:42
Az elektromos autók piaca közel sem bővül úgy a világban, ahogy az előzetes elemzések jósolták. Ez pedig a magyar gazdaságra is hat, ahol a kormány komoly kockázatot vállalva óriási tétet tett az akkumulátorgyártásra.
Makro / Külgazdaság Utoléri -e Európa Oroszországot lőszergyártásban ASAP, azaz „sürgősen”?
Bózsó Péter | 2024. március 18. 19:03
Vajon mennyire segíthet az Európai Bizottság által múlt pénteken bejelentett félmilliárd eurós európai lőszergyártási program a lőszerhiánytól szenvedő Ukrajnának?
Makro / Külgazdaság Újabb vészjósló adat árnyékolja be a magyar gazdaság kilátásait
Privátbankár.hu | 2024. március 18. 18:06
Romlott az üzleti hangulat a német kiskereskedelemben februárban.
Makro / Külgazdaság Putyinnak adót kell emelnie, különben bajban lesz
Privátbankár.hu | 2024. március 18. 17:24
A még több pénzt felemésztő háborúhoz új források kellenek Putyinnak, mivel a nyersanyagok eladásából származó bevételek megcsappantak. Csökkenteni kell a jóléti alapokat is és magasan kell tartani az alapkamatot, hogy ne szabaduljon el az infláció. Emellett a hazai lakáspiac megélénkülésének feltételeiről és akadályairól is beszélt felelős szerkesztőnk, Mester Nándor a Trend FM Reggeli monitor című adásában.
Makro / Külgazdaság A gázra léphet Putyin Ukrajnában
Wéber Balázs | 2024. március 18. 15:04
Az ukrajnai offenzíva erősítését ígérte győzelmi beszédében Vlagyimir Putyin, aki az eddiginél is nagyobb önbizalommal vághat bele ötödik elnöki ciklusába. Mindez pedig nem jó hír a lőszer- és emberhiánnyal küzdő ukrán hadsereg számára. A hivatalos adatok szerint Putyin utcahosszal nyerte az elnökválasztást, valódi ellenfelei azonban nem voltak – azok ugyanis börtönben vagy külföldön vannak, vagy már halottak.
Makro / Külgazdaság Több pénz jött be Európába, mint amennyi kiment
Privátbankár.hu | 2024. március 18. 12:47
Legalábbis a külkereskedelem területén. Pozitív mérleggel zárta a januárt az eurózóna és az Unió is.
Makro / Külgazdaság Így is lehet: a törvényt betű szerint betartva sztrájkolnak a román köztisztviselők
Privátbankár.hu | 2024. március 18. 12:31
Azzal lassítják a munkát, hogy betartják a határidőt.
Makro / Külgazdaság Tárgyal a kormány a tiltakozó orvosokkal, elejét vennék a tömeges felmondásnak - Koreában
Privátbankár.hu | 2024. március 18. 11:47
Sztrájkolnak az orvosok, március végén tömegesen fel is mondanának, egy hónap után már kénytelen volt leülni velük az elnök is.
Makro / Külgazdaság Megint irigykedhetünk Romániára
Privátbankár.hu | 2024. március 18. 08:38
Pörög az autóipar a szomszédban.
hírlevél
Ingatlantájoló
Együttműködő partnerünk: 4iG