Daftar Isi:
Apa yang perlu Anda ketahui
- Dua peneliti keamanan Israel menemukan database Biostar 2 yang tidak dienkripsi dengan data senilai 23GB
- Termasuk dalam data adalah sidik jari, pemindaian wajah, nama pengguna, kata sandi, dan informasi pribadi lainnya dari lebih dari 1 juta orang.
- Kerentanan sekarang telah ditutup dan perusahaan sedang melakukan evaluasi informasi yang mendalam.
Pekan lalu, peneliti keamanan Israel Noam Rotem dan Ran Locar menemukan database Biostar 2 yang sebagian besar tidak dapat diakses publik diakses secara online. Basis data termasuk sidik jari, pemindaian wajah, nama pengguna dan kata sandi, dan informasi pribadi lebih dari 1 juta orang.
Biostar 2 adalah sistem kunci biometrik yang dikembangkan oleh perusahaan keamanan Suprema yang terintegrasi dengan sistem kontrol akses AEOS. AEOS kebetulan digunakan di 83 negara di seluruh dunia dan 5.700 organisasi, termasuk pemerintah, bank, dan Polisi Metropolitan Inggris.
Rotem dan Locar terjadi pada database ini selama proyek sampingan dengan vpnmentor di mana mereka memindai "port mencari blok IP yang akrab, dan kemudian menggunakan blok ini untuk menemukan lubang dalam sistem perusahaan yang berpotensi menyebabkan pelanggaran data."
Setelah pasangan menemukan basis data Biostar 2, mereka dapat mencari basis data dan memanipulasi URL untuk mendapatkan akses ke data.
Para peneliti memiliki akses ke lebih dari 27, 8 juta catatan, dan data senilai 23 gigabytes termasuk panel admin, dasbor, data sidik jari, data pengenalan wajah, foto wajah pengguna, nama pengguna dan kata sandi yang tidak terenkripsi, log akses fasilitas, tingkat keamanan dan pembersihan, dan rincian pribadi staf.
Berbicara kepada Guardian, Rotem mengatakan sebagian besar nama pengguna dan kata sandi tidak terenkripsi dan mereka juga dapat mengubah data dan menambahkan pengguna baru ke dalam sistem.
Dalam makalah tentang penemuan yang diberikan kepada Guardian sebelum dipublikasikan oleh vpnmentor pada hari Rabu, para peneliti mengatakan mereka dapat mengakses data dari organisasi yang bekerja bersama di AS dan Indonesia, rantai gym di India dan Pakistan, pemasok obat di India. Inggris, dan pengembang ruang parkir mobil di Finlandia, antara lain.
Apa yang membuat ini lebih berbahaya, adalah para peneliti menunjukkan bahwa database termasuk sidik jari orang. Itu berarti sidik jari dapat disalin dan digunakan oleh orang lain, alih-alih menyimpan hash sidik jari yang tidak dapat direkayasa ulang.
Rotem dan Locar melakukan berbagai upaya untuk menghubungi Suprema sebelum mengirim kertas mereka ke Guardian akhir pekan lalu, dan pada Rabu pagi, kerentanan telah diperbaiki. Kepala pemasaran di Suprema, Andy Ahn, mengatakan kepada Guardian bahwa perusahaan sedang melakukan "evaluasi mendalam" dari informasi dan:
Jika ada ancaman yang pasti terhadap produk dan / atau layanan kami, kami akan segera mengambil tindakan dan membuat pengumuman yang sesuai untuk melindungi bisnis dan aset berharga pelanggan kami.
Kita semua pernah melihat berita tentang pelanggaran keamanan, dan kemungkinan besar Anda pernah menjadi korban salah satunya di masa lalu. Biasanya mengharuskan Anda untuk mengubah kata sandi Anda, tetapi ketika datang ke data biometrik Anda, Anda tidak bisa hanya mengubah sidik jari atau wajah Anda.
Seberapa amankah pengenalan wajah di Galaxy S10?
