Hopp til navigasjon Hopp til innhold
Sikkerhetsforskerne kunne fritt fram legge til og fjerne personers tilgang og sikkerhetsklarering. (Ill.: Pexels)

Sikkerhetsflause lekket over en million fingeravtrykk

Alt fra bankinstitusjoner til politiet har brukt dette systemet.

Et system for biometrisk gjenkjenning som benyttes av banker, forsvarsselskaper og britiske politistyrker har blitt utsatt for et storskala-brekk der mer enn én million fingeravtrykk har kommet på avveie sammen med ukrypterte passord, ansiktsgjenkjenningsdata og personlige opplysninger ellers.

Ble slått sammen med AEOS

Det aktuelle systemet er Biostar 2 som tilbys av sikkerhetsselskapet Suprema. Produktet bruker fingeravtrykk og ansiktsgjenkjenning for å låse opp dører og lignende i bygninger som ledd i sikkerheten. The Guardian skriver at plattformen forrige måned ble slått sammen med AEOS, et annet lignende system som benyttes av 5700 organisasjoner verden over.

De som oppdaget lekkasjen er sikkerhetsforskerne Noam rotem og Ran Locar. I en rutinemessig nettverksscan oppdaget de at Biostar 2 sin database var fritt tilgjengelig på nett, og at de ved URL-manipulering hadde tilgang til 28 millioner føringer og 23GB med data. Denne datamengden besto av fingeravtrykk, ansiktsgjenkjenningsdata, passord og sikkerhetsklareringer.

Kunne manipulere databasen

Rotem forteller til The Guardian at han kunne legge til og fjerne brukere i systemet. Eksempelvis var han i stand til å legge til sitt eget fingeravtrykk og påta seg den høyeste sikkerhetsklareringen om han så ønsket dette.

Forskerne forteller også at de gjentatte ganger har forsøkt å komme i kontakt med Suprema uten at dette har resultert i noe konstruktivt. De så seg derfor nødt til å gå til medier med oppdagelsen, hvorpå Suprema i ettertid har uttalt at de har gjort en grundig vurdering av opplysningene uten at de anser dette som en trussel.

Kilder:
The Guardian
Engadget