Отпечатки пальцев миллионов людей оказались в открытом доступе — Wylsacom

Отпечатки пальцев миллионов людей оказались в открытом доступе

Утечку допустила компания, занимающаяся кибербезопасностью.

Источник: The Guardian

Компания vpnMentor, которая занимается вопросами кибербезопасности, обнаружила возможную утечку персональных данных миллионов человек. Пикантности ситуации добавляет тот факт, что в утечке виновата британская компания Suprema. Основной профиль её деятельности — препятствовать проникновению злоумышленников.

Что за Suprema?

Компания занимается разработкой и поддержкой BioStar 2 — биометрических цифровых замков. Один из их продуктов — компактный дактилоскопический датчик BioEntry R2:

Он считывает отпечаток пальца и сверяет его с записанным на сервере узором — принцип работы самый простейший. Датчик надёжно защищает от несанкционированного доступа посторонних лиц. Также у компании есть технологии распознавания лиц.

Система BioStar 2 была интегрирована в более масштабную систему контроля доступа — AEOS. И вот ею уже пользуются примерно 5,7 тысяч компаний в 83 странах мира.

Конфликт

Но проблема заключается в том, где хранятся данные. По словам представителей vpnMentor, 5 августа эксперты компании обнаружили, что 23 ГБ личных данных клиентов компании находились в открытом доступе. Это 27,8 млн записей с незашифрованными данными о сотрудниках с именами пользователей и паролями. Специалисты vpnMentor смогли получить доступ к более чем миллиону учётных записей, где содержались биометрические данные.

Данные позволяли не только идентифицировать пользователя, но также определить, где он находится и какие двери открывает. Также специалисты vpnMentor без каких-либо трудностей изменили пароли от некоторых учётных записей и добавили новых пользователей.

Вместо того, чтобы сохранять хэш отпечатка пальца, который не может быть подвергнут обратному проектированию, Suprema сохраняет физические отпечатки пальцев людей. Их можно легко скопировать для злонамеренных целей.

vpnMentor

И тут спецы vpnMentor забили тревогу и связали с компанией Suprema. Но ответа не было ни по почте, ни по телефону. В итоге один из сотрудников Suprema в личной беседе по телефону сказал, что компания не общается с vpnMentor. Какое-то не очень адекватное поведение.

Справедливости ради стоит отметить, что 13 августа брешь была закрыта. Но Suprema никак не прокомментировала возможную утечку.

Пример из базы данных. Источник: vpnMentor

Интересно, что вместо надёжного хэширования, Suprema хранила связки логинов и паролей просто в текстовых файлах. Звучит надёжно!

На данный момент неизвестно, воспользовался ли кто-нибудь возможной лазейкой. Но если всё-таки данные кто-нибудь украл, то последствия для пострадавших могут быть катастрофичными.

Любая утечка, даже если она была всего лишь возможной, — очень плохо. Плохо, когда в открытом доступе оказываются связки логин/пароль. Но ещё хуже, если в сети находятся биометрические данные. Ведь если пароль поменять можно, то вот отпечатки пальцев или лицо сменить немножко сложнее.