Uniklé loginy jsou passé, nastupují úniky biometrických údajů

22. 8. 2019 v sekci Článek

Dvěma expertům pracujícím na projektu pro vpnMentor, Noamu Rotemovi a Ranu Locarovi, se během práce na jednom projektu podařilo najít veřejně přístupnou databázi obsahující otisky prstů více než milionu uživatelů, data pro rozpoznávání obličeje, osobní údaje a mnoho dalšího.

Databázi, o níž je řeč, provozuje jihokorejská společnost Suprema, která v ní sdružuje údaje pro svůj nástroj BioStar 2, což je integrovatelná bezpečnostní platforma určená pro řízený přístup. BioStar 2 používá technologii pro rozpoznávání obličeje a otisky prstů k identifikaci uživatelů a různé organizace jej nasazují k řízení fyzického přístupu do zabezpečených oblastí, pro správu uživatelských oprávnění, integraci s bezpečnostními aplikacemi třetích stran či zaznamenávání protokolů o činnosti.

Odborníci odhalili, že velké části databáze BioStar 2 nejsou chráněny a většinou nejsou ani šifrovány. Použitá databáze Elasticsearch sice není určena pro použití s URL, nicméně se podařilo do ní dostat přes webový prohlížeč a získat obrovské množství dat. Exponovaná data zahrnují nezašifrované biometrické údaje, jako jsou otisky prstů a záznamy obličejů, nezašifrovaná uživatelská jména, hesla, ID, osobní informace o uživatelích (včetně adres domů), úrovně zabezpečení a přístupu, logy, přístupy k administrátorským panelům, ovládacím prvkům a oprávněním.

Expertům se následně podařilo identifikovat řadu společností po celém světě, jejichž údaje v databázi figurují – jde přitom o banky, zbrojařské firmy, a dokonce i britskou metropolitní policii. Celkem jde o 23 GB dat obsahujících téměř 28 milionů záznamů.

Veškeré tyto údaje se mohou v nepovolaných rukách stát velice nebezpečným nástrojem. Hackeři mohou získat přístup k účtům s vysokým zabezpečením a měnit bezpečnostní zásady napříč celou sítí. Nejenže mohou zakázat/povolit fyzický přístup stávajícím uživatelům bez jejich vědomí, ale dokonce mohou vytvářet nové uživatele a získat tak přístup k zabezpečeným oblastem. Zneužitím stávajících biometrických údajů pak mohou nepozorovaně pronikat prakticky kamkoliv, kde je pro chráněný přístup využit systém BioStar 2. Celá bezpečnostní infrastruktura tak může být narušena a zkompromitována.

Uniklé osobní údaje zaměstnanců mohou hackeři použít pro krádeže identit, podvody, vydírání nebo stále oblíbené phishingové kampaně. Není zatím potvrzeno, že by někdo kromě expertů odhalil slabinu databáze a využil ji k exfiltraci dat, to však nijak nesnižuje závažnost situace.

Odborníci upozornili i společnost Suprema, která údajně příliš nereagovala, přístup do databáze byl ale ošetřen a situaci prý prověřuje. Pokud se ukáže, že byla data ohrožena, bude společnost podle svého vyjádření informovat zákazníky. Rotem a Locar doporučili společnosti Suprema zabezpečit své servery, neukládat skutečné otisky prstů uživatelů (ale hash, který nelze zpětně upravovat), implementovat správná pravidla přístupu do databází a nikdy nenechávat systém, který nevyžaduje autentizaci, otevřený na internetu.

Klientům používající BioStar 2 bylo doporučeno, aby si okamžitě změnili heslo dashboardu BioStar 2 a informovali zaměstnance, aby změnili svá osobní hesla. Jednotlivci, jejichž informace mohly být z této databáze odcizeny, bohužel nemají účinné prostředky, jak změnit zadané údaje – problém s uniklými biometrickými daty je závažný právě proto, že na rozdíl od klasického hesla a přihlašovacího jména nelze tato data změnit.

Je bohužel běžné, že v důsledku špatné konfigurace a chybného nastavení dochází k závažným únikům dat. Společnosti by přitom měly ve svém vlastním zájmu kontrolovat a vyhodnocovat přístupy ke kritickým datům a systémům a zajistit, aby pro takto citlivá data byla zavedena důkladná kontrola integrity a nasazeny systémy pro detekci nestandardního chování. Naprostým bezpečnostním minimem by pak mělo být šifrování.

Zdroj: helpnetsecurity.com


Tento web používá cookies. Více informací ROZUMÍM