Отпечатки пальцев миллионов людей оказались в открытом доступе
Утечку допустила компания, занимающаяся кибербезопасностью.
Компания vpnMentor, которая занимается вопросами кибербезопасности, обнаружила возможную утечку персональных данных миллионов человек. Пикантности ситуации добавляет тот факт, что в утечке виновата британская компания Suprema. Основной профиль её деятельности — препятствовать проникновению злоумышленников.
Что за Suprema?
Компания занимается разработкой и поддержкой BioStar 2 — биометрических цифровых замков. Один из их продуктов — компактный дактилоскопический датчик BioEntry R2:
Он считывает отпечаток пальца и сверяет его с записанным на сервере узором — принцип работы самый простейший. Датчик надёжно защищает от несанкционированного доступа посторонних лиц. Также у компании есть технологии распознавания лиц.
Система BioStar 2 была интегрирована в более масштабную систему контроля доступа — AEOS. И вот ею уже пользуются примерно 5,7 тысяч компаний в 83 странах мира.
Конфликт
Но проблема заключается в том, где хранятся данные. По словам представителей vpnMentor, 5 августа эксперты компании обнаружили, что 23 ГБ личных данных клиентов компании находились в открытом доступе. Это 27,8 млн записей с незашифрованными данными о сотрудниках с именами пользователей и паролями. Специалисты vpnMentor смогли получить доступ к более чем миллиону учётных записей, где содержались биометрические данные.
Данные позволяли не только идентифицировать пользователя, но также определить, где он находится и какие двери открывает. Также специалисты vpnMentor без каких-либо трудностей изменили пароли от некоторых учётных записей и добавили новых пользователей.
Вместо того, чтобы сохранять хэш отпечатка пальца, который не может быть подвергнут обратному проектированию, Suprema сохраняет физические отпечатки пальцев людей. Их можно легко скопировать для злонамеренных целей.
И тут спецы vpnMentor забили тревогу и связали с компанией Suprema. Но ответа не было ни по почте, ни по телефону. В итоге один из сотрудников Suprema в личной беседе по телефону сказал, что компания не общается с vpnMentor. Какое-то не очень адекватное поведение.
Справедливости ради стоит отметить, что 13 августа брешь была закрыта. Но Suprema никак не прокомментировала возможную утечку.
Интересно, что вместо надёжного хэширования, Suprema хранила связки логинов и паролей просто в текстовых файлах. Звучит надёжно!
На данный момент неизвестно, воспользовался ли кто-нибудь возможной лазейкой. Но если всё-таки данные кто-нибудь украл, то последствия для пострадавших могут быть катастрофичными.
Любая утечка, даже если она была всего лишь возможной, — очень плохо. Плохо, когда в открытом доступе оказываются связки логин/пароль. Но ещё хуже, если в сети находятся биометрические данные. Ведь если пароль поменять можно, то вот отпечатки пальцев или лицо сменить немножко сложнее.