Table des matières:
Que souhaitez-vous savoir
- Deux chercheurs en sécurité israéliens ont découvert une base de données Biostar 2 non chiffrée contenant 23 Go de données
- Les données incluaient les empreintes digitales, les numérisations faciales, les noms d'utilisateur, les mots de passe et autres informations personnelles de plus d'un million de personnes.
- La vulnérabilité a été fermée et la société procède à une évaluation approfondie des informations.
La semaine dernière, les chercheurs israéliens en matière de sécurité Noam Rotem et Ran Locar ont découvert en ligne une base de données Biostar 2, accessible au public et non chiffrée. La base de données comprenait les empreintes digitales, les analyses faciales, les noms d'utilisateur et mots de passe, ainsi que les informations personnelles de plus d'un million de personnes.
Biostar 2 est un système de verrouillage biométrique développé par la société de sécurité Suprema qui s'intègre au système de contrôle d'accès AEOS. L'AEOS est utilisé dans 83 pays et dans 5 700 organisations, dont des gouvernements, des banques et la police métropolitaine du Royaume-Uni.
Rotem et Locar sont tombés sur cette base de données au cours d’un projet parallèle avec vpnmentor, dans lequel ils analysaient "les ports à la recherche de blocs IP familiers, puis utilisaient ces blocs pour détecter les failles dans les systèmes des entreprises pouvant potentiellement conduire à des violations de données".
Une fois que la paire a trouvé la base de données Biostar 2, ils ont pu la rechercher et manipuler des URL pour accéder aux données.
Les chercheurs ont eu accès à plus de 27, 8 millions d'enregistrements et à 23 gigaoctets de données, notamment des panneaux d'administration, des tableaux de bord, des données d'empreintes digitales, des données de reconnaissance faciale, des photos de visage des utilisateurs, des noms d'utilisateur et mots de passe non cryptés, des journaux d'accès aux installations, des niveaux de sécurité et des autorisations. et les détails personnels du personnel.
Rotem a confié au Guardian que la plupart des noms d'utilisateur et mots de passe n'étaient pas cryptés et qu'ils étaient également en mesure de modifier les données et d'ajouter de nouveaux utilisateurs au système.
Dans le document sur la découverte fournie au Guardian avant d'être publié mercredi par le vice-président, les chercheurs ont indiqué qu'ils avaient pu accéder aux données d'organismes collaborant aux États-Unis et en Indonésie, une chaîne de salles de sport en Inde et au Pakistan, un fournisseur de médicaments en Royaume-Uni et un développeur de parkings en Finlande, entre autres.
Les chercheurs ont souligné que la base de données comprenait les empreintes digitales des personnes. Cela signifie que l'empreinte digitale peut être copiée et utilisée par d'autres personnes, au lieu de stocker un hachage de l'empreinte digitale qui ne peut pas être inversé.
Rotem et Locar ont tenté à plusieurs reprises de contacter Suprema avant d'envoyer leur document au Guardian à la fin de la semaine dernière. Depuis mercredi matin, la vulnérabilité a été corrigée. Andy Ahn, responsable du marketing chez Suprema, a déclaré au Guardian que la société procédait à une "évaluation approfondie" des informations et:
En cas de menace réelle sur nos produits et / ou services, nous prendrons des mesures immédiates et procéderons aux annonces appropriées pour protéger les activités et les actifs de nos clients.
Nous avons tous vu les reportages sur les atteintes à la sécurité et vous avez sans doute déjà été victime de l'une de ces violations. Vous devez généralement modifier votre mot de passe, mais pour vos données biométriques, vous ne pouvez pas simplement changer votre empreinte digitale ou votre visage.
À quel point la reconnaissance des visages sur le Galaxy S10 est-elle sécurisée?
