Több mint egymillió felhasználó ujjlenyomatait, arcfotóit és személyes adatait tárolták védtelenül
Bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja a Biostar 2 nevű biometrikus azonosító rendszert, mely nyilvánosan elérhető adatbázisban, titkosítás nélkül tárolt borzasztóan érzékeny adatokat.
Óriási adatszivárgást fedezett fel két izraeli internetbiztonsági szakember, melynek jelentését a Guardianhoz juttatták el. Noam Rotem és Ran Locar a vpnmentor virtuális magánhálózatok ellenőrzésére létrehozott rendszerét használva azt találta, hogy a Biostar 2 nevű biometrikus azonosító szolgáltató védtelenül tárolta több mint egymillió felhasználó borzasztóan érzékeny adatait. És most valóban nagyon érzékeny dolgokról van szó: nem csak felhasználónevekről és jelszavakról, de - a biometrikus mivoltból kifolyólag - ujjlenyomatokról és arcfotókról is. És ha mindez még nem lenne elég, a Biostar 2 rendszerét mások mellett bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja, szóval az extra érzékeny adatok ráadásul potenciálisan olyan felhasználókhoz köthetők, aki alapból rendkívül érzékeny helyzetben vannak.
A Suprema biztonsági cég által működtetett Biostar 2-t jellemzően őrzött raktárépületek és irodaépületek beengedőrendszerének központi vezérléséhez használják fel, az ujjlenyomat- és arcellenőrzést végzik el vele. A Suprema a múlt hónapban jelentette be, hogy a rendszert integrálja egy másik, az AEOS nevű szolgáltatásba, melyet világszerte 83 országban használnak. Ez nagyjából 5700 ügyfélt jelent, köztük kormányszervekkel is.
Rotem és Locar egy múlt heti keresés nyomán találtak rá a Biostar 2 adatbázisára, mely védtelen, és java részt titkosítatlan. A webkutatók viszonylag egyszerű módszerrel 27,8 millió feljegyzéshez és 23 gigabájtnyi adathoz fértek hozzá, melyek közt a már említett biometrikus adatok és titkosítatlan felhasználónevek és jelszavak mellett különféle létesítmények beléptetési naplói, biztonsági rendszerek belépési engedélyei és biztonsági személyzetek magánadatai is voltak. Az adathalmazt olyan hanyagul tárolták, hogy a két szakember még adminisztrátori jelszavakat is talált teljesen titkosítatlanul, tehát úgy, hogy a jelszavak tisztán ott virítottak előttük a képernyőn, egyszerű karaktersorként.
A kutatók azt mondják, az adatok felhasználásával, a biometrikus azonosításokat megfigyelve valós időben lekövethető, ahogy az épp kiszemelt személy belép egy létesítménybe, sőt, az is látszik, hogy aztán adott létesítményen belül melyik szobába megy be. A páros ezen kívül képes volt manipulálni a talált adatokat, és új felhasználókat ültetni a rendszerbe. Ez a gyakorlatban azt jelenti, hogy képesek egy már létező, regisztrált felhasználóhoz tartozó ujjlenyomatot és fotót kicserélni egy másikra, például a sajátjukra, így pedig belépést nyerni őrzött objektumokba. Vagy egy már létező felhasználó biometrikus adatait ellopva létre tudnak hozni egy új, érvényes felhasználót, a meglopott felhasználóéval megegyező belépési engedélyekkel. A kutatók gyakorlati példaként felhozták, hogy hozzáfértek mások mellett amerikai és indonéz szervezetek, indiai és pakisztáni edzőtermek, valamint egy brit gyógyszergyártó és egy finn autóparkoló cég beléptetési rendszeréhez is.
Hogy védtelenül tárolták az adatokat, az azért különösen aggasztó, mert egy kiszivárgott jelszót meg lehet változtatni, de az ujjlenyomatunkat nem, annak másolatát pedig el lehet adni rosszindulatú feleknek.
A kutatópáros többször is megkereste kérdéseivel a Supremat, de a cég nem reagált. Rotem és Locar ezek után küldte el a jelentést a Guardiannek. Az adatbázis sebezhetősége ausztrál idő szerint szerdán korán reggel megszűnt, de a biztonsági cég eztután sem válaszolt a szakembereknek. A Guardiannek viszont igen, annyit, hogy mélységében megvizsgálják az esetet, és ha úgy látják, valóban közvetlen veszélynek tették ki az ügyfeleiket, akkor előállnak egy hivatalos bejelentéssel.
Az adatbázisok elégtelen védelme egyébként meglehetősen mindennapi probléma Rotem szerint. A szakember azt mondja, heti három-négy céggel veszi fel ilyen ügyekben a kapcsolatot - ő volt az, aki az év elején feltárta az Amadeus repülőjegy-foglaló rendszer sebezhetőségét is. A most felfedezett probléma viszont mind a biometrikus adatok, mind a kormányzati és hadi-hírszerzési ügyfelek miatt különösen érzékeny.
(Guardian)
Címlapon
Jócskán magához tért a Nyomda
A februártól a július elejei osztalékfizetésig szűk sávban mozgó részvényárfolyam az utóbbi napokban nagyot ment, s az ANY Biztonsági Nyomda eredményei, valamint a piac által kezdvezőnek tartott kilátásai (lásd önkormányzati választások miatti megbízások) hatására még feljebb mehetnek.
- Minden szem Rómára szegeződik – nagyon felsült Salvini
- Orbán gerinctelen politikát folytat Amerikával szemben – interjú hazánk volt washingtoni nagykövetével
- Brutális minimálbér-emelésre készülnek a szlovákok
- Nemhogy javulna, arányosan egyre rosszabb az orvosok fizetése
- Jócskán magához tért a Nyomda
- Véget ért a nagy kísérlet Olaszországban
- Komoly pénzeket vonnak ki amerikai befektetési alapok a kínai részvénypiacról
- Golyóálló hátizsákokkal készül az amerikai diák a tanévre
- Magyarország szomszédja nagyon ráfeküdt az euró bevezetésére
További cikkek
-
Golyóálló hátizsákokkal készül az amerikai diák a tanévre
Az Egyesült Államokban több lőfegyver van magántulajdonban, mint ahány ember az országban él. Jóllehet a lakosság nagy többsége a tiltást igényli, a fegyverlobbi és Trump elnök miatt nem változik a helyzet. A felmérések szerint az amerikaiak 92 százaléka támogatja a fegyvervásárlások ellenőrzését. Jelenleg mindenfajta kontroll nélkül bárhol lehet tömeggyilkosságra alkalmas fegyvert vásárolni. Tovább
-
Brutális minimálbér-emelésre készülnek a szlovákok
Ha minden igaz, nagyon nagyot nő majd északi szomszédunknál a minimálbér. Tovább
-
A nap képe: hatalmas turnét nyomott le Angela Merkel
Sopron, Reykjavík, Berlin – fejezetek egy kancellár életéből. Tovább
-
Minden szem Rómára szegeződik – nagyon felsült Salvini
Salvini a törvényhozást semmibe vette, és azt remélte, hogy hamar kikényszerítheti a választásokat, csakis a saját hatalma érdekében. De úgy tűnik, hogy alaposan melléfogott. Most 50 milliárd eurós „sokk” gazdaságélénkítést követel, miközben 23 milliárd eurós megszorításra lesz szükség. Káncz Csaba jegyzete. Tovább
-
Komoly pénzeket vonnak ki amerikai befektetési alapok a kínai részvénypiacról
Az év eleje óta az amerikai befektetési alapok összesen 5,9 milliárd dollárnyi pénzt vontak ki a kínai részvénypiacáról, a legtöbbet 2017 óta. A háttérben az amerikai-kínai kereskedelmi háború sejlik föl. Tovább
-
Az Alibaba elhalasztja Hongkongba tervezett részvénykibocsátását
Kína legnagyobb e-kereskedelmi vállalata, az Alibaba csoport elhalasztja Hongkongba tervezett részvénykibocsátását a politikai feszültség növekedése miatt. Tovább
-
Véget ért a nagy kísérlet Olaszországban
Alig több mint egy évig húzta Európa első elitellenes-populista kormánya, az Öt Csillag és a Liga koalíciója. Tovább
-
Magyarország szomszédja nagyon ráfeküdt az euró bevezetésére
Komoly átstrukturálást tervez a horvát kormány. Tovább
-
Többlettel zárta a második negyedévet a költségvetés
A második negyedévben az államháztartás finanszírozási oldalról számított nettó pénzügyi megtakarítása 120 milliárd forintot tett ki. Tovább
-
A románok még mindig Daciát vesznek
Romániában 9,5 százalékkal nőtt az új járművek eladása az első hét hónapban - közölte a román autógyártók és -importőrök egyesülete. Tovább
-
Orbán gerinctelen politikát folytat Amerikával szemben – interjú hazánk volt washingtoni nagykövetével
Az Orbán-kormány Amerika-politikája zavaros, következetlen és meg merem kockáztatni, gerinctelen - mondja Simonyi András. Tovább
-
Kína megregulázása árthat is Amerikának, ismerte el Trump
Valakinek szembe kellett szállnia Kínával, nem volt más választás, mint vámokat kivetni a kínai árukra – mondta Donald Trump újságíróknak. Tovább
-
Történelmi hozammélység Magyarországon – kiszorítanák a külföldieket, mégis nyomulnak?
Történelmi mélységben a magyar tíz éves államkötvény-hozam, ahogy a német is és még több más ország kötvényhozama. Tovább
-
Közös közlemény nélkül zárulhat a G7-csúcs, Junckert műtik
A világ hét legfejlettebb országának szombaton kezdődő csúcsértekezlete először zárulhat közös közlemény kiadása nélkül. Jean-Claude Juncker, az Európai Bizottság elnöke műtétje miatt biztosan nem vesz részt a megbeszélésen. Tovább
-
Bréking: lemond az olasz kormányfő
Giuseppe Conte olasz kormányfő bejelentette, hogy ma este benyújtja lemondását az olasz államfőnek. Tovább
-
Olasz válság: indul a vita a parlamentben
Az olasz miniszterelnöki hivatal bejelentése szerint Giuseppe Conte kormányfő beszédét a parlamenti pártok felszólalásai követik a római felsőházban kedd délután. Tovább
-
Dühös lett Moszkva, mert Washington kilőtt egy rakétát
A katonai feszültség fokozásával vádolta meg Washingtont Szergej Rjabkov orosz külügyminiszter-helyettes. Tovább
-
Nem közeledett egymáshoz Orbán Viktor és Angela Merkel
Legalábbis ezt állítja a német közszolgálati televízió. Tovább
-
Jön az Ursula-kormány? Fokozódik a helyzet Olaszországban
Giuseppe Conte olasz miniszterelnök ma délután három órakor mond beszédet a római parlament felsőházában. Tovább
-
Áder: még nem teljesült be minden álmunk
Harminc év után ma joggal lehetünk büszkék mindarra, amit 1989-ben elvégeztünk - jelentette ki a köztársasági elnök az augusztus 20-ai tisztavatáson mondott beszédében Budapesten. Tovább
Videók
Utánajártunk
Privátbankár Árkosár
Hírlevél
Feliratkozáshoz kérjük adja meg e-mail címét:
Exkluzív interjúk
-
Ahol a portfoliómenedzserek szabad kezet kapnak – Köves Benedek
-
Mit tegyen most az, aki lakásra szeretne spórolni? – Török Lajos
-
Ha nincs magyar reálkamat, fektessünk más devizába – Kovács Szilárd
-
Az orosz medvéből orosz bika lesz? – Pálfi György
-
2020-2021 vízválasztó lehet a hazai bankrendszerben – Jelasity Radován
-
Nem kell félni szembemenni a piaccal – Czifra Gábor
-
Nem sikervállalkozóból, hanem sikerbefektetőből van igazán kevés – Oszkó Péter
-
Száz vállalati bankot is elbírna a magyar piac – Kovács Levente
