4p
Bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja a Biostar 2 nevű biometrikus azonosító rendszert, mely nyilvánosan elérhető adatbázisban, titkosítás nélkül tárolt borzasztóan érzékeny adatokat.

Óriási adatszivárgást fedezett fel két izraeli internetbiztonsági szakember, melynek jelentését a Guardianhoz juttatták el. Noam Rotem és Ran Locar a vpnmentor virtuális magánhálózatok ellenőrzésére létrehozott rendszerét használva azt találta, hogy a Biostar 2 nevű biometrikus azonosító szolgáltató védtelenül tárolta több mint egymillió felhasználó borzasztóan érzékeny adatait. És most valóban nagyon érzékeny dolgokról van szó: nem csak felhasználónevekről és jelszavakról, de - a biometrikus mivoltból kifolyólag - ujjlenyomatokról és arcfotókról is. És ha mindez még nem lenne elég, a Biostar 2 rendszerét mások mellett bankok, katonai-hírszerzési beszállító cégek és a brit rendőrség is használja, szóval az extra érzékeny adatok ráadásul potenciálisan olyan felhasználókhoz köthetők, aki alapból rendkívül érzékeny helyzetben vannak.

A Suprema biztonsági cég által működtetett Biostar 2-t jellemzően őrzött raktárépületek és irodaépületek beengedőrendszerének központi vezérléséhez használják fel, az ujjlenyomat- és arcellenőrzést végzik el vele. A Suprema a múlt hónapban jelentette be, hogy a rendszert integrálja egy másik, az AEOS nevű szolgáltatásba, melyet világszerte 83 országban használnak. Ez nagyjából 5700 ügyfélt jelent, köztük kormányszervekkel is.

Rotem és Locar egy múlt heti keresés nyomán találtak rá a Biostar 2 adatbázisára, mely védtelen, és java részt titkosítatlan. A webkutatók viszonylag egyszerű módszerrel 27,8 millió feljegyzéshez és 23 gigabájtnyi adathoz fértek hozzá, melyek közt a már említett biometrikus adatok és titkosítatlan felhasználónevek és jelszavak mellett különféle létesítmények beléptetési naplói, biztonsági rendszerek belépési engedélyei és biztonsági személyzetek magánadatai is voltak. Az adathalmazt olyan hanyagul tárolták, hogy a két szakember még adminisztrátori jelszavakat is talált teljesen titkosítatlanul, tehát úgy, hogy a jelszavak tisztán ott virítottak előttük a képernyőn, egyszerű karaktersorként.

A kutatók azt mondják, az adatok felhasználásával, a biometrikus azonosításokat megfigyelve valós időben lekövethető, ahogy az épp kiszemelt személy belép egy létesítménybe, sőt, az is látszik, hogy aztán adott létesítményen belül melyik szobába megy be. A páros ezen kívül képes volt manipulálni a talált adatokat, és új felhasználókat ültetni a rendszerbe. Ez a gyakorlatban azt jelenti, hogy képesek egy már létező, regisztrált felhasználóhoz tartozó ujjlenyomatot és fotót kicserélni egy másikra, például a sajátjukra, így pedig belépést nyerni őrzött objektumokba. Vagy egy már létező felhasználó biometrikus adatait ellopva létre tudnak hozni egy új, érvényes felhasználót, a meglopott felhasználóéval megegyező belépési engedélyekkel. A kutatók gyakorlati példaként felhozták, hogy hozzáfértek mások mellett amerikai és indonéz szervezetek, indiai és pakisztáni edzőtermek, valamint egy brit gyógyszergyártó és egy finn autóparkoló cég beléptetési rendszeréhez is.

Hogy védtelenül tárolták az adatokat, az azért különösen aggasztó, mert egy kiszivárgott jelszót meg lehet változtatni, de az ujjlenyomatunkat nem, annak másolatát pedig el lehet adni rosszindulatú feleknek.

A kutatópáros többször is megkereste kérdéseivel a Supremat, de a cég nem reagált. Rotem és Locar ezek után küldte el a jelentést a Guardiannek. Az adatbázis sebezhetősége ausztrál idő szerint szerdán korán reggel megszűnt, de a biztonsági cég eztután sem válaszolt a szakembereknek. A Guardiannek viszont igen, annyit, hogy mélységében megvizsgálják az esetet, és ha úgy látják, valóban közvetlen veszélynek tették ki az ügyfeleiket, akkor előállnak egy hivatalos bejelentéssel.

Az adatbázisok elégtelen védelme egyébként meglehetősen mindennapi probléma Rotem szerint. A szakember azt mondja, heti három-négy céggel veszi fel ilyen ügyekben a kapcsolatot - ő volt az, aki az év elején feltárta az Amadeus repülőjegy-foglaló rendszer sebezhetőségét is. A most felfedezett probléma viszont mind a biometrikus adatok, mind a kormányzati és hadi-hírszerzési ügyfelek miatt különösen érzékeny.

(Guardian)

A rovat támogatója a 4iG

LEGYEN ÖN IS ELŐFIZETŐNK!

Előfizetőink máshol nem olvasott, higgadt hangvételű, tárgyilagos és
magas szakmai színvonalú tartalomhoz jutnak hozzá havonta már 1490 forintért.
Korlátlan hozzáférést adunk az Mfor.hu és a Privátbankár.hu tartalmaihoz is, a Klub csomag pedig a hirdetés nélküli olvasási lehetőséget is tartalmazza.
Mi nap mint nap bizonyítani fogunk! Legyen Ön is előfizetőnk!

Makro / Külgazdaság ÁKK: az egész évre tervezett forrásbevonás nettó 96 százaléka teljesült
Privátbankár.hu | 2025. július 1. 18:50
Az intézményi forintpiacon erős kereslet mellett a nettó forint intézményi finanszírozási terv 75 százaléka, míg a bruttó aukciós kibocsátási terv 50 százaléka teljesült 2025 első félévben. A lakossági piacon érdemi portfolió-átrendeződés mellett és a jelentős átárazódások ellenére is jól áll az időarányos teljesülés.
Makro / Külgazdaság A kínai büntetővám a hazai húsfogyasztókat is sújthatja
Privátbankár.hu | 2025. július 1. 17:15
A január óta ideiglenesen érvényben lévő védővám fennmaradása akár 3-4 százalékkal is megemelheti a sertés- és baromfihúsok kilónkénti árát a hazai piacon – figyelmeztet az UBM.
Makro / Külgazdaság Kiábrándító június – hatalmas visszaesés a román új autók piacán
Privátbankár.hu | 2025. július 1. 16:46
Az új autók piaca 21,8 százalékkal zsugorodott az első fél évben – közölte az autógyártók és importőrök szakmai szervezete (APIA) kedden. A június különösen kiábrándító volt.
Makro / Külgazdaság Felpörgött az euróövezet inflációja júniusban
Privátbankár.hu | 2025. július 1. 14:39
Azonban az áremelkedés megfelelt az elemzők által vártnak az Eurostat kedden közzétett előzetes adatai szerint.
Makro / Külgazdaság Újabb óriási áresésre kerülhet sor a benzinkutakon
Privátbankár.hu | 2025. július 1. 11:09
Amennyiben a kiskereskedők egy az egyben érvényesítik a benzin és a gázolaj nagykereskedelmi árának 7-7 forintos csökkenését. 
Makro / Külgazdaság A kínai autókereskedők a „túl olcsó” autókra panaszkodnak
Privátbankár.hu | 2025. július 1. 11:02
Kína egyik legtehetősebb térsége, a Jangce-delta autókereskedői „súlyos kihívásokra” figyelmeztetnek, és az autógyártókhoz fordulnak, hogy azok vizsgálják felül értékesítési stratégiáikat a fokozódó pénzügyi nyomás és a felhalmozódó készletek miatt – újabb bizonyítékául a világ legnagyobb autópiacán zajló árháború következményeinek.
Makro / Külgazdaság Mire készülhet a kormány? Ezt is kérdezzük Győrffy Dórától a Klasszis Klub Live-ban
Privátbankár.hu | 2025. július 1. 10:55
A közgazdász, egyetemi tanár, az MTA doktora július 9-én szerdán délután 15 óra 30 perckor lesz a vendége a Klasszis Média egyórás élő adásának. Amelyben szokás szerint nemcsak mi kérdezünk, hanem ezt olvasóink is megtehetik, akár előzetesen, akár a Klasszis Média YouTube-csatornáján, illetve az Mfor és a Privátbankár Facebook-oldalán közvetített adás során.
Makro / Külgazdaság Újabb mutatóban lettünk tökutolsók az Európai Unió 27 tagországa között
Privátbankár.hu | 2025. július 1. 09:58
Az Eurostat legújabb adatai szerint a magyar vásárlók kosarában van a legkevesebb áru és szolgáltatás az egész EU-ban – mutat rá a GKI Gazdaságkutató Zrt. friss elemzése.
Makro / Külgazdaság Vészvillogó: gyengélkedik a magyar ipar
Privátbankár.hu | 2025. július 1. 09:00
A beszerzési index júniusban 48,9 pontra csökkent, ismét zsugorodást jelezve a magyar feldolgozóiparban.
Makro / Külgazdaság Rossz hírt közölt a KSH: romlott az egyenleg
Herman Bernadett | 2025. július 1. 08:50
Májusban 739 millió euró volt a termék-külkereskedelmi többlet; a kivitel volumene 3,2 százalékkal, a behozatalé 5,4 százalékkal bővült az előző év azonos időszakihoz képest.
hírlevél
Ingatlantájoló
Együttműködő partnerünk: 4iG