Biztonsági szakemberek bukkantak rá arra a hanyagul kezelt adatbázisra, ami több mint egymillió felhasználó biometrikus azonosítóit és más személyes adatait tartalmazta titkosítatlan formában. A csomag több mint 27,8 millió rekordból állt és 23 gigabájtot tett ki, az ujjlenyomatok mellett arcképeket, neveket, jelszavakat, munkavállalói és belépési információkat is magába foglalt.
A kutatók a VPNMentor kiberbiztonsági céggel közösen derítette fel, hogy a Biostar 2 nevű szoftver egyik biztonsági rését kihasználva válhatott lehetővé az adatok elszipkázása, amik bárki számára, nyilvánosan hozzáférhetők voltak, titkosítás nélkül. Ezt az eszközt világszerte több ezer vállalat használja arra, hogy elvégezzék az épületeikbe való beléptetést. A Biostar 2-t birtokló Suprema közleménye szerint azóta már javították a hibát. A VPNMentor szerint még nem lehet tudni biztosan, mennyi ideig voltak hozzáférhetők az adatok, és azt sem tudni, hogy történt-e azokkal visszaélés.
Ahogy Noam Rotem, az egyik kutató is rávilágított, a biometrikus azonosítókkal kapcsolatban az a legijesztőbb, hogy ha ezek egyszer kikerültek, azokat már nem lehet megváltoztatni – míg a jelszavunkat lecserélhetjük, az ujjlenyomatunkkal ezt nem tehetjük meg. David Emm, a Kaspersky biztonsági kutatója a következőképpen nyilatkozott a hírrel kapcsolatban:
„Két kulcsfontosságú dologról kell szót ejtenünk az esettel kapcsolatban. Egyrészt, egyértelmű, hogy a biometrikus adatok ellopása az emberek személyazonosító adataival való visszaélést teszi lehetővé. Másrészt, ezekben az esetekben a jelszó megváltoztatására vonatkozó tanácsnak semmi értelme, hiszen a biometrikus adatait nem cserélheti le az adott személy. Ezért tartjuk továbbra is rossz ötletnek, hogy jelszavak helyett biometrikus adatokat használjanak. Kisebb problémát jelentene, ha a felhasználónevek helyett használnának biometrikus adatokat. Harmadrészt, nem titkosították a jelszavakat – egyszerű szövegként tárolták azokat. Amennyiben egy jelszó rossz kezekbe kerül, az megváltoztatható. Ha valakinek az ujjlenyomata kerül ki az internetre, az nem cserélhető le, és mindig ismert marad.”
(Kiemelt kép: iStock)
