Выявлена масштабная утечка биометрических данных

Израильские эксперты по информационной безопасности Ноам Ротем (Noam Rotem) и Рен Локар (Ran Locar) обнаружили в открытом доступе огромную базу конфиденциальных данных, включая отпечатки пальцев более одного миллиона человек, фотографии, незашифрованные имена и пароли пользователей, а также персональную информацию сотрудников различных компаний. Как сообщает британское издание The Guardian, среди организаций, которые могла затронуть масштабная утечка - полиция Лондона, оборонные подрядчики и банки. Как выяснили специалисты, оплошность допустил южнокорейский разработчик Suprema , продукты которого используются более чем в 110 странах мира. Компания предлагает клиентам веб-платформу Biostar 2 для организации контроля доступа, учёта рабочего времени и посещаемости с помощью технологий распознавание отпечатков пальцев и лиц, а также оборудование для считывания биометрических данных и сопутствующие приложения. По имеющейся информации, Suprema входит в число 50 ведущих мировых производителей решений для обеспечения безопасности и лидирует по доле на рынке систем биометрического контроля доступа в регионе EMEA (Европа, Ближний Восток и Африка). В июле 2019 года Suprema в рамках партнёрства с голландским коллегой по отрасли Nedap договорилась об интеграции своей платформы BioStar 2 с системой контроля доступа AEOS, которую используют 5700 организаций в 83 странах мира, в том числе правительственные, финансовые и Скотленд-Ярд. Ротем и Локар в ходе совместного исследования с командой портала vpnMentor, специализирующегося на оценке VPN-сервисов, обнаружили в интернете открытую базу данных ElasticSearch, принадлежащую Suprema. Хранящаяся в ней информация оказалась незащищенной и по большей части незашифрованной. Изменяя критерии поиска URL-адресов в ElasticSearch, ИБ-эксперты без труда смогли просмотреть содержимое БД - в общей сложности более 27,8 миллионов записей суммарным объемом 23 Гб. Открытыми находились панели администрирования и управления, биометрические данные (отпечатки пальцев и фотографии), незашифрованные логины и пароли пользователей, журналы посетителей, сведения об уровне доступа и персональные данные сотрудников организаций. Более того, специалисты даже могли менять данные и добавлять новых пользователей. Другими словами, будь на месте исследователей злоумышленники, они бы могли отредактировать учетную запись существующего пользователя и заменить отпечатки пальцев на свои, что открыло бы им доступ в здания и помещения, в которые разрешено заходить настоящему сотруднику. Киберпреступники могли бы проникнуть на закрытую территорию, если бы создали новую учетную запись со своими отпечатками и фото. Серьезность утечки усугубляется тем, что речь идет о биометрических данных, которые пользователи не могут изменить, в отличие от паролей и логинов. Прежде чем обнародовать информацию, Ротем и Локар многократно пытались связаться с представителями Suprema по электронной почте, но не дождались ответа. Лишь после звонка во французское представительство Suprema доступ к данным наконец-то был закрыт. Это произошло в среду, 14 августа, хотя первые попытки установить контакт с разработчиком датируются 7 августа. Специалисты не берутся называть точное число людей, которые могли пострадать в результате допущенной Suprema ошибки. Учитывая, что платформа насчитывает более 1,5 миллиона установок по всему миру, речь идет о десятках миллионов человек, говорится в отчёте по результатам проведенного исследования. Что интересно, представители Suprema так и не вышли на связь с ИБ-экспертами. В комментарии изданию The Guardian, которое первым сообщило о найденной уязвимости, глава Suprema по маркетингу Энди Ан (Andy Ahn) заявил, что компания провела "тщательную оценку" информации, предоставленной vpnMentor, и уведомит своих клиентов в случае наличия угрозы. Впрочем, по словам Ротема, ситуация с Suprema далеко не уникальна, и в открытом доступе можно найти в буквальном смысле миллионы систем, многие из которых весьма уязвимы. Ссылка на источник