SÀkerhetsföretaget hittade lÀckande fingeravtryck, ansiktsskanningar

SÀkerhetsföretaget hittade lÀckande fingeravtryck, ansiktsskanningar

Ett biometriföretag lÀckte av misstag en miljon kundfingeravtryck, plus nÄgra ansiktsigenkÀnningsskanningar, via en exponerad internetdatabas.

Sydkorea-baserade Suprema levererar ironiskt nog sĂ€kerhetsprodukter – inklusive fingeravtryck och skanningsteknik för ansiktsigenkĂ€nning – till företag över hela vĂ€rlden. En av dessa produkter heter BioStar 2, en webbaserad plattform som anvĂ€nds för att fjĂ€rrstyra och övervaka byggnadssĂ€kerhetssystem.

Men av nÄgon anledning lagrade Suprema de biometriska avsökningarna i en öppen databas över internet, enligt israeliska forskare Noam Rotem och Ran Locar.

Forskarna upptĂ€ckte den exponerade databasen medan de genomförde ett webbmappningsprojekt för VPN-granskningssidan vpnMentor. Även om datalĂ€ckage inte Ă€r nĂ„got nytt Ă€r Suprema-incidenten sĂ€rskilt dĂ„lig eftersom den handlar om anvĂ€ndarnas biometriska information. “AnsiktsigenkĂ€nning och fingeravtrycksinformation kan inte Ă€ndras. NĂ€r de Ă€r stulna kan det inte Ă„ngras”, skrev forskarna i sitt blogginlĂ€gg.

Det Àr inte klart om nÄgon skadlig part nÄgonsin har fÄtt tillgÄng till den exponerade databasen, som var tillgÀnglig via URL: er i en webblÀsare. Rotem och Locar sÀger att databasen innehöll kundinformation frÄn företag i USA, Storbritannien och flera andra lÀnder. Ytterligare exponerade poster inkluderade okrypterade anvÀndarnamn och lösenord för administrativa konton pÄ Biostar 2-plattformen, anstÀlldas sÀkerhetsnivÄer och godkÀnnanden samt personliga uppgifter som anstÀlldas hem- och e-postadresser.

“VĂ„rt team kunde komma Ă„t över 27,8 miljoner poster, totalt 23 gigabyte data”, tillade de.

Rotem och Locar försökte kontakta Suprema om den exponerade databasen efter att ha upptĂ€ckt den den 5 augusti. Forskarna hĂ€vdar dock att företaget var “mycket samarbetsvilligt” och gjorde ingenting för att sĂ€kra databasen förrĂ€n igĂ„r, 13 augusti.

Suprema berĂ€ttade att det fortfarande undersöker lĂ€ckan för potentiella risker för kunderna. “Om det finns nĂ„got definitivt hot mot vĂ„ra produkter och / eller tjĂ€nster kommer vi att vidta omedelbara Ă„tgĂ€rder och göra lĂ€mpliga meddelanden för att skydda vĂ„ra kunders vĂ€rdefulla affĂ€rer och tillgĂ„ngar.”

Under tiden rekommenderar Rotem och Locar Suprema-kunder att sĂ€kra sina konton. “I hĂ€nderna pĂ„ kriminella hackare kunde all denna information ha laddats ner och sparats för senare anvĂ€ndning i en mĂ€ngd olika brott,” varnade forskarna. Till exempel kan Ă„tkomst till Biostar 2-administratörskonton lĂ„ta en hacker inaktivera eller manipulera sĂ€kerhetssystemen i en verklig byggnad. Den personliga informationen i databasen kan ocksĂ„ anvĂ€ndas för att begĂ„ identitetsstöld eller bedrĂ€geri.

Varför Suprema har lagrat fingeravtrycks- och ansiktsigenkÀnningsskanningar utan nÄgot skydd som hashing, vilket effektivt kan krypa data, Àr fortfarande oklart. Men hÀndelsen understryker farorna med att ett företag samlar in biometrisk information: det Àr möjligt att det en dag kan lÀcka.