Используемая полицией биометрическая СКУД допустила утечку данных 1 млн человек

15 августа 2019
Используемая полицией биометрическая СКУД допустила утечку данных 1 млн человек

Данные пользователей биометрической СКУД Biostar 2 от компании Suprema хранились на незащищенном сервере. Исследователи безопасности из vpnmentor Ноам Ротем (Noam Rotem) и Рэн Локар (Ran Locar) обнаружили в открытом доступе биометрические данные 1 млн человек.

Отпечатки пальцев, данные для распознавания лиц, незашифрованные логины и пароли администраторов и другая информация хранились в открытой базе данных на незащищенном сервере.

База данных принадлежит южнокорейской компании Suprema, разработчику системы контроля и управления доступом (СКУД) Biostar 2, используемой в офисных зданиях, на складах и пр. Для того чтобы войти в здание, человек должен пройти идентификацию по отпечаткам пальцев и лицу.

В прошлом месяце Suprema сообщила об интеграции Biostar 2 с системой управления доступом AEOS, используемой на 5,7 тысячах предприятий в 83 странах мира. В частности, Biostar 2 используется в британском Скотланд-Ярде, банках и на оборонных предприятиях.

Исследователи обнаружили открытую базу данных на прошлой неделе во время сканирования портов в поисках знакомых блоков IP-адресов. Изменяя критерии поиска URL-адресов в Elasticsearch, они смогли без труда просматривать содержимое БД. Более того, исследователи могли изменять данные и добавлять новых пользователей.

В общей сложности Ротем и Локар получили доступ к 27,8 млн записей и 23 ГБ данных, в том числе к панелям администрирования, отпечаткам пальцев, данным для распознавания лиц, фотографиям, незашифрованным логинам и паролям, журналам посетителей, сведениям об уровне доступа и персональным данным сотрудников организаций.

Ротем и Локар предприняли несколько попыток уведомить Suprema о проблемной БД. В среду, 14 августа, уязвимость была закрыта, однако компания так ничего и не ответила исследователям.

СКУД – совокупность программно-аппаратных технических средств контроля и средств управления, имеющих целью ограничение и регистрацию входа-выхода объектов на заданной территории через «точки прохода»: двери, ворота, КПП.

Источник: SecurityLab

Читайте также: