Een database van een bedrijf die gebruikt wordt door onder meer de Britse politie, aannemers van het Britse ministerie van Defensie en banken, bleek publiekelijk toegankelijk. Daardoor zijn de vingerafdrukken van een miljoen mensen, evenals gezichtsherkenningsinformatie en persoonlijke gegevens van werknemers gelekt, schrijft The Guardian.
De database was van beveiligingsbedrijf Suprema. Suprema is verantwoordelijk voor het biometrische beveiligingssysteem Biostar 2. Dat systeem geeft gecentraliseerde controle voor toegang tot beveiligde locaties, zoals magazijnen en kantoorgebouwen.
Om zo veilig mogelijk te zijn, gebruikt Biostar 2 vingerafdrukken en gezichtsherkenning om mensen te identificeren. Die informatie staat dus in een database opgeslagen. Datzelfde platform is ook geïntegreerd in een ander systeem om toegang te beheren: AEOS. AEOS wordt door 5.700 organisaties in 83 landen gebruikt, waaronder overheden en de Britse politie.
Lek
Maar nu blijkt dus dat de database niet goed beschermd was. De Israëlische beveiligingsonderzoekers Noam Rotem en Ran Locar – die met vpnmentor werken, een dienst dat VPN-diensten bekijkt – ontdekten dit vorige week. De informatie in de database bleek bovendien veelal niet versleuteld.
De onderzoekers kregen toegang tot ruim 27,7 miljoen gegevens en 23 GB aan data. Het ging om panelen voor administrators, dashboards, gegevens over vingerafdrukken en gezichtsherkenning, foto’s van gezichten van gebruikers, niet-versleutelde gebruikersnamen en wachtwoorden, logs van toegang tot locaties en persoonlijke details van werknemers.
Ook konden ze zien dat miljoen gebruikers het systeem gebruiken om toegang te krijgen tot verschillende locaties. Het was mogelijk om in real-time te zien wie bij welk gebouw of welke ruimte in een gebouw naar binnen ging.
Data aanpassen
Groot probleem is dat de onderzoekers ook data aan konden passen en nieuwe gebruikers toe konden voegen. Wil je dus zelf een gebouw inkomen, dan kun je jezelf als nieuwe gebruiker aanmaken of het account van een bestaande gebruiker aanpassen.
Bovendien wordt de dienst op 1,5 miljoen locaties wereldwijd gebruikt, waar nu dus belangrijke gegevens van zijn gelekt. En in tegenstelling tot wanneer je wachtwoord gelekt is, kun je je vingerafdruk niet veranderen, zoals je met het wachtwoord zou doen.
De gelekte vingerafdrukken kunnen volgens de onderzoekers opgeslagen worden en gekopieerd worden voor malafide doeleinden.
Lek gedicht
De onderzoekers hebben geprobeerd contact op te nemen met Suprema, voordat ze hun paper en bevindingen naar The Guardian brachten. Het lek is inmiddels gedicht, maar het beveiligingsbedrijf heeft nog altijd niets aan de onderzoekers laten weten.
Het hoofd van marketing van het bedrijf stelt dat het Suprema een “diepgaande evaluatie” heeft gedaan van de informatie die de onderzoekers gaven. Als klanten gevaar zouden lopen, worden ze hiervan op de hoogte gesteld.