Wielki wyciek danych biometrycznych, 27.8 mln rekordów

alco

Bardzo aktywny
Ekspert
Dołączył
12 Maj 2011
Posty
1571
Reakcje/Polubienia
648
BIOSTAR-2-Breach-Millions-of-Users-Exposed-in-Huge-Data-Leak-1-768x403.jpg


Prowadzony przez badaczy prywatności w Internecie Noam Rotem i Ran Locar, zespół vpnMentor odkrył niedawno ogromne naruszenie danych w platformie bezpieczeństwa BioStar 2.

BioStar 2 jest internetową, biometryczną platformą bezpieczeństwa inteligentnych zamków. Jest to aplikacja scentralizowana, umożliwiająca administratorom kontrolę dostępu do bezpiecznych obszarów obiektów, zarządzanie uprawnieniami użytkowników, integrację z aplikacjami zabezpieczającymi innych producentów oraz rejestrowanie dzienników aktywności.

W ramach oprogramowania biometrycznego BioStar 2 wykorzystuje technologię rozpoznawania twarzy i pobierania odcisków palców do identyfikacji użytkowników.

Aplikacja została zbudowana przez Supremę, jednego z 50 największych producentów zabezpieczeń na świecie, z najwyższym udziałem w rynku biometrycznej kontroli dostępu w regionie EMEA. Suprema nawiązała ostatnio współpracę z firmą Nedap w celu zintegrowania systemu kontroli dostępu BioStar 2 z systemem AEOS.

Z systemu AEOS korzysta ponad 5 700 organizacji w 83 krajach, w tym największe międzynarodowe firmy, wiele małych przedsiębiorstw lokalnych, rządy, banki, a nawet brytyjska policja miejska.

Dane ujawnione w naruszeniu mają charakter wysoce wrażliwy. Zawiera ona szczegółowe dane osobowe pracowników oraz niezaszyfrowane nazwy użytkowników i hasła, dające hakerom dostęp do kont użytkowników i uprawnień w obiektach korzystających z BioStar 2. Złośliwi agenci mogliby wykorzystać to do włamania się do bezpiecznych obiektów i manipulowania ich protokołami bezpieczeństwa dla działalności przestępczej.

Jest to ogromny wyciek, który zagraża zarówno firmom i organizacjom zaangażowanym, jak i ich pracownikom. Nasz zespół miał dostęp do ponad 1 miliona odcisków palców, a także informacji dotyczących rozpoznawania twarzy. W połączeniu z danymi osobowymi, nazwami użytkowników i hasłami, potencjał działalności przestępczej i oszustwa jest ogromny.

Raz skradzione odciski palców i informacje o rozpoznaniu twarzy nie mogą być odzyskane. Jednostka będzie potencjalnie dotknięta przez resztę życia.
Oś czasowa reakcji właściciela i odkrywcy

Po wykryciu naruszenia w bazie danych BioStar 2 skontaktowaliśmy się z firmą, ostrzegając ją o naszych odkryciach.

Jednak w trakcie tego procesu BioStar 2 okazał się na ogół bardzo niechętny do współpracy. Nasz zespół podjął liczne próby skontaktowania się z firmą za pośrednictwem poczty elektronicznej, bezskutecznie. Ostatecznie postanowiliśmy zadzwonić do biur BioStar 2. Ponownie, firma w dużej mierze nie reagowała.

Po rozmowie z członkiem ich niemieckiej drużyny otrzymaliśmy mamrotliwą odpowiedź, że "nie rozmawiamy z vpnMentor", zanim telefon został nagle odłożony. Sugeruje to, że byli oni świadomi nas i naszych prób rozwiązania tego problemu.

Próbowaliśmy również skontaktować się z urzędnikiem ds. zgodności z PKBR BioStar 2, ale nie otrzymaliśmy żadnej odpowiedzi.

Ostatecznie, po rozmowie telefonicznej z bardziej kooperacyjnym oddziałem francuskim, firma podjęła kroki w celu zamknięcia naruszenia.

Data odkryta: 5 sierpnia 2019 r.
Skontaktowano się ze sprzedawcami dat: 7 sierpnia 2019 r.
Data podjęcia działania: 13 sierpnia, wyłom został zamknięty.

Przykładowe wpisy w bazie danych

Jako scentralizowane rozwiązanie zabezpieczające, baza danych BioStar 2 zawierała prawie każdy dostępny rodzaj poufnych danych.

Biostar-2-Airport.jpg

Biostar-2-AirportMogłoby to być wykorzystane w szerokim zakresie działalności przestępczej, która byłaby katastrofalna zarówno dla zainteresowanych przedsiębiorstw i organizacji, jak i ich pracowników lub klientów.

Nasz zespół miał dostęp do ponad 27,8 miliona rekordów, w sumie 23 gigabajty danych, które zawierały następujące informacje:

Dostęp do paneli administracyjnych klienta, pulpitów sterowniczych, kontrolek końcowych i uprawnień.
Dane o odciskach palców
Informacje dotyczące rozpoznawania twarzy i obrazy użytkowników
Nieszyfrowane nazwy użytkowników, hasła i identyfikatory użytkowników
Zapisy wejścia i wyjścia do obszarów chronionych
Rejestry pracowników, w tym daty rozpoczęcia pracy
Poziomy bezpieczeństwa i poświadczenia bezpieczeństwa pracowników
Dane osobowe, w tym adres domowy pracownika i poczta elektroniczna.
Struktury i hierarchie pracownicze przedsiębiorstw
Informacje o urządzeniach przenośnych i systemie operacyjnym

Jednym z bardziej zaskakujących aspektów tego wycieku było to, jak niezabezpieczone były hasła dostępu do konta. Wiele kont miało śmiesznie proste hasła, takie jak "Hasło" i "abcd1234". Trudno sobie wyobrazić, że ludzie wciąż nie zdają sobie sprawy, jak łatwo jest hakerowi uzyskać dostęp do swojego konta.

Biostar-2-Easy-PW.jpg

Biostar-2-Easy-PWOf oczywiście, wielu użytkowników stworzyło bardziej skomplikowane i skuteczne hasła, które normalnie trudno byłoby odkryć lub odszyfrować. Jednakże, byliśmy w stanie łatwo przeglądać hasła w bazie danych BioStar 2, ponieważ były one przechowywane jako pliki tekstowe, a nie bezpiecznie skasowane.

Biostar2-KibanaWiele przedsiębiorstw dotkniętych wyciekiem różniło się znacznie pod względem wielkości, lokalizacji, przemysłu i użytkowników. Kilka przykładów przedsiębiorstw, do których informacji mogliśmy uzyskać dostęp i przeglądać je na całym świecie:

USA

Union Member House - Coworking space and social club z 7.000 użytkowników.
Lits Link - doradztwo w zakresie rozwoju oprogramowania.
Phoenix Medical - Producent wyrobów medycznych.

Indonezja

Uptown - dżakarta - miejsce pracy dla 123 użytkowników.

Indie i Sri Lanka

Power World Gyms - wysokiej klasy franczyza siłowni z oddziałami w obu krajach. Mamy dostęp do 113 796 rekordów użytkowników i ich odcisków palców.

Zjednoczone Królestwo

Associated Polymer Resources - specjaliści od recyklingu tworzyw sztucznych.
Tile Mountain - wystrój domu i dostawca artykułów do majsterkowania.
Farla Medical - Sklep z artykułami medycznymi.

ZJEDNOCZONE EMIRATY ARABSKIE

Global Village - coroczny festiwal kulturalny, z dostępem do 15.000 odcisków palców.
IFFCO - grupa ds. produktów żywnościowych dla konsumentów.

Finlandia

Euro Park - deweloper miejsc parkingowych z lokalizacjami w całej Finlandii.

Turcja

Ostim - deweloper budownictwa stref przemysłowych.

Japonia

Inspired.Lab - Coworking and design space in Chiyoda City, Tokio.

Belgia

Adecco Staffing - Znaleźliśmy około 2000 odcisków palców związanych z personelem i olbrzymem w dziedzinie zasobów ludzkich.

Niemcy

Identbase - Dane należące do tego dostawcy technologii drukowania identyfikatorów handlowych i kart dostępu zostały również znalezione w wyeksponowanej bazie danych.

Może największym problemem w tym przecieku jest jego rozmiar. Użytkownicy BioStar 2 są rozproszeni po całym świecie, a potencjalni przyszli użytkownicy, w tym rządy, banki, uniwersytety, wykonawcy sektora obronnego, policja i międzynarodowe firmy.

Platforma posiada ponad 1,5 miliona instalacji na całym świecie, a wszystkie one mogą być narażone na ten wyciek. Całkowita liczba osób dotkniętych tym problemem może wynosić dziesiątki milionów.
Wpływ naruszenia danych

Rozpoznawanie twarzy i informacje o odciskach palców nie mogą być zmieniane. Kiedy zostaną skradzione, nie da się ich cofnąć. Niezabezpieczony sposób, w jaki BioStar 2 przechowuje te informacje, jest niepokojący, biorąc pod uwagę jego znaczenie oraz fakt, że BioStar 2 jest budowany przez firmę ochroniarską.

Zamiast zapisywać skrót odcisków palców (których nie da się odtworzyć), zapisują one rzeczywiste odciski palców ludzi, które mogą być kopiowane w złośliwych celach.

Łącząc wszystkie dane znalezione w przecieku, przestępcy wszelkiego rodzaju mogliby wykorzystywać te informacje do różnych nielegalnych i niebezpiecznych działań.
Przejęcia przedsiębiorstw i naruszenia bezpieczeństwa

Dzięki temu przeciekowi hakerzy mają pełny dostęp do kont administracyjnych na BioStar 2. Mogą one wykorzystać to do przejęcia konta wysokiego poziomu z pełnymi uprawnieniami użytkownika i uprawnieniami bezpieczeństwa oraz do wprowadzania zmian w ustawieniach bezpieczeństwa w całej sieci.

Mogą oni nie tylko zmieniać uprawnienia użytkowników i blokować ludzi z określonych obszarów, ale również tworzyć nowe konta użytkowników - wraz z rozpoznawaniem twarzy i odciskami palców - w celu zapewnienia sobie dostępu do bezpiecznych obszarów w obrębie budynku lub obiektu.

Ponadto hakerzy mogą zmienić odciski palców z istniejących kont na własne i porwać konto użytkownika, aby uzyskać dostęp do obszarów zastrzeżonych i niewykrytych. Hakerzy i inni przestępcy mogliby potencjalnie tworzyć biblioteki odcisków palców, które można by wykorzystać w dowolnym momencie, kiedy tylko zechcą gdzieś wejść i nie zostaną wykryte.

Zapewnia to hakerowi i jego zespołowi otwarty dostęp do wszystkich obszarów o ograniczonym dostępie, chronionych przez

Zakres przedsiębiorstw dotkniętych wyciekiem był bardzo zróżnicowany pod względem wielkości, lokalizacji, przemysłu i użytkowników. Kilka przykładów przedsiębiorstw, do których informacji mogliśmy uzyskać dostęp i przeglądać je na całym świecie:

USA


Indonesia


India and Sri Lanka

  • Zaloguj lub Zarejestruj się aby zobaczyć!
    – High-class gym franchise with branches across both countries. We accessed 113,796 user records and their fingerprints.

United Kingdom


UAE


Finland


Turkey


Japan


Belgium

  • Zaloguj lub Zarejestruj się aby zobaczyć!
    – We found approximately 2,000 fingerprints connected to the staffing and human resources giant.

Germany

  • Zaloguj lub Zarejestruj się aby zobaczyć!
    Data belonging to this supplier of commercial ID and access card printing technology was also found in the exposed database.
Może największym problemem w tym przecieku jest jego rozmiar. Użytkownicy BioStar 2 są rozproszeni po całym świecie, a potencjalni przyszli użytkownicy, w tym rządy, banki, uniwersytety, wykonawcy sektora obronnego, policja i międzynarodowe firmy.

Platforma posiada ponad 1,5 miliona instalacji na całym świecie, a wszystkie one mogą być narażone na ten wyciek. Całkowita liczba osób dotkniętych tym problemem może wynosić dziesiątki milionów.
Wpływ naruszenia danych

Rozpoznawanie twarzy i informacje o odciskach palców nie mogą być zmieniane. Kiedy zostaną skradzione, nie da się ich cofnąć. Niezabezpieczony sposób, w jaki BioStar 2 przechowuje te informacje, jest niepokojący, biorąc pod uwagę jego znaczenie oraz fakt, że BioStar 2 jest budowany przez firmę ochroniarską.

Zamiast zapisywać skrót odcisków palców (których nie da się odtworzyć), zapisują one rzeczywiste odciski palców ludzi, które mogą być kopiowane w złośliwych celach.

Łącząc wszystkie dane znalezione w przecieku, przestępcy wszelkiego rodzaju mogliby wykorzystywać te informacje do różnych nielegalnych i niebezpiecznych działań.
Przejęcia przedsiębiorstw i naruszenia bezpieczeństwa

Dzięki temu przeciekowi hakerzy mają pełny dostęp do kont administracyjnych na BioStar 2. Mogą one wykorzystać to do przejęcia konta wysokiego poziomu z pełnymi uprawnieniami użytkownika i uprawnieniami bezpieczeństwa oraz do wprowadzania zmian w ustawieniach bezpieczeństwa w całej sieci.

Mogą oni nie tylko zmieniać uprawnienia użytkowników i blokować ludzi z określonych obszarów, ale również tworzyć nowe konta użytkowników - wraz z rozpoznawaniem twarzy i odciskami palców - w celu zapewnienia sobie dostępu do bezpiecznych obszarów w obrębie budynku lub obiektu.

Ponadto hakerzy mogą zmienić odciski palców z istniejących kont na własne i porwać konto użytkownika, aby uzyskać dostęp do obszarów zastrzeżonych i niewykrytych. Hakerzy i inni przestępcy mogliby potencjalnie tworzyć biblioteki odcisków palców, które można by wykorzystać w dowolnym momencie, kiedy tylko zechcą gdzieś wejść i nie zostaną wykryte.

Zapewnia to hakerowi i jego zespołowi otwarty dostęp do wszystkich obszarów objętych ochroną za pomocą BioStar 2. Mają również dostęp do dzienników aktywności, dzięki czemu mogą usuwać lub zmieniać dane w celu ukrycia swojej aktywności.

W rezultacie cała infrastruktura bezpieczeństwa zhakowanego budynku staje się bezużyteczna. Każdy, kto posiada takie dane, będzie miał możliwość swobodnego poruszania się w dowolnym miejscu i nie zostanie wykryty.
Kradzież i oszustwo.

Najbardziej oczywistym niebezpieczeństwem dania hakerowi lub przestępcy pełnego dostępu do bezpiecznego budynku jest kradzież. Mogą oni wykorzystać tę bazę danych do dosłownego wejścia do pokoju i wzięcia wszystkiego, co ma wartość.

To prawda, bez względu na charakter budynku, czy jest to siłownia w małym mieście, czy biuro rządowe.

Wyciek daje również hakerom dostęp do zamkniętych sieci, do których mogą nie być w stanie dotrzeć z zewnątrz budynku. Dzięki temu mogą kraść cenne informacje, wirusy roślin, monitorować i wykorzystywać systemy i wiele więcej.
Kradzież i oszustwo tożsamości

Wyciek z BioStar 2 zawierał ogromne ilości danych osobowych oraz nazwiska użytkowników, odciski palców i obrazy. Obejmowały one dokumentację zatrudnienia, adresy e-mail i adresy domowe.

Poza obawami dotyczącymi bezpieczeństwa przedsiębiorstw, których to dotyczy, pracownicy i klienci mogą być obecnie przedmiotem nadużyć finansowych i innych przestępstw.

Te same dane osobowe mogą być również wykorzystywane do prowadzenia skutecznych kampanii phishingu. Kampania phishingowa polega na wykorzystywaniu imitacji e-maili w celu nakłonienia ofiar do kliknięcia łącza osadzonego w złośliwym oprogramowaniu lub dostarczenia informacji, które mogą być wykorzystane do kradzieży od nich. Przy dostępnych w tym przecieku danych osobowych i zawodowych, stworzenie skutecznych kampanii phishingu nie byłoby trudne.

Dane z BioStar 2 dają cyberprzestępcom solidne podstawy do wykorzystywania użytkowników do osiągania nielegalnych zysków finansowych. Mogą również sprzedawać informacje - w tym odciski palców - w ciemnej sieci innym przestępcom lub złośliwym agentom. Mogłoby to doprowadzić do wielu niemożliwych do wykrycia, obciążających działań popełnianych przy użyciu danych niewinnych użytkowników BioStar 2.
Szantaż i wymuszenie

Ukierunkowanie niektórych pracowników na szantaż lub wymuszenia w oparciu o ich pozwolenia na dostęp w biznesie jest popularną taktyką stosowaną przez przestępców na całym świecie. Pozwala to hakerowi uzyskać dostęp do cennych informacji lub aktywów bez narażania się na fizyczne niebezpieczeństwo.

Naruszenie w bazie danych BioStar 2 umożliwia hakerom przeglądanie indywidualnych poświadczeń bezpieczeństwa w organizacji i kierowanie do osób na wysokim szczeblu w celu szantażu i wymuszeń w oparciu o te informacje.

Korzystając z dostępnych danych osobowych, mogą oni sprawić, że ich groźby staną się bardzo skuteczne, uzyskując dostęp do informacji prywatnych i wykorzystując osobiste słabości, takie jak rodzina czy relacje. W ten sposób pracownicy zainteresowanych klientów BioStar 2 narażeni są na duże potencjalne niebezpieczeństwo.
Używając skradzionych odcisków palców.

Wykorzystanie zabezpieczeń biometrycznych, takich jak odciski palców, jest najnowszym osiągnięciem. W związku z tym, pełne potencjalne niebezpieczeństwo związane z kradzieżą odcisków palców jest nadal nieznane.

Ważne jest jednak, aby pamiętać, że gdy zostanie skradziony, w przeciwieństwie do haseł, nie można zmienić odcisku palca.

To powoduje kradzież danych o odciskach palców.

Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry