Специалисты по кибербезопасности Ноам Ротэм и Рэн Локар обнаружили незащищенную базу данных, содержащую отпечатки пальцев, изображения лиц, имена, пароли и другую персональную информацию более чем миллиона пользователей биометрической системы BioStar 2. Эту платформу, разработанную корейской компанией Suprema, используют коммерческие организации по всему миру для контроля доступа к офисным зданиям, складам и прочим охраняемым объектам.
В прошлом месяце Suprema интегрировала BioStar 2 в другую систему контроля доступа — AEOS. Как пишет The Guardian, AEOS используется 5700 организациями в 83 странах, включая правительственные учреждения, банки, полицию и оборонные компании.
По словам Ротэма и Локара, найденная ими в свободном доступе база Biostar 2 была по большей части незашифрована. Манипулируя параметрами URL, эксперты смогли прочесть 27,8 миллиона записей объемом 23 гигабайта. Хранилище включало данные о панелях администраторов, журналы доступа к объекту, изображения лиц, отпечатки пальцев, имена, пароли и другую личную информацию персонала.
Более того, специалисты могли не только читать, но и изменять данные и вносить новых пользователей. Злоумышленник, сказал Ротем, мог бы отредактировать запись другого человека, зарегистрировать в базе свой отпечаток и свободно попасть на территорию охраняемого комплекса. В частности, эксперты сумели получить доступ к данным коворкинговых сетей в США и Индонезии, поставщика лекарств в Великобритании и застройщику паркингов в Финляндии.
Глава по маркетингу Suprema Энди Ан сообщил The Guardian, что его фирма произвела "глубокую оценку" информации, предоставленной экспертами. В случае, если данным клиентов Suprema представляла опасность, представитель компании пообещал принять "безотлагательные меры". К этому времени лазейка закрыта.