Dårligt sikret database eksponerer fingeraftryk for 1 mio.

Database hos firmaet Suprema Biostar 2 har eksponeret fingeraftryksdata og kodeord i klartekst.

To israelske sikkerhedsforskere har fundet fingeraftryk tilhørende omkring 1 million mennesker i en blotlagt database fra firmaet Suprema Biostar 2. Derudover lå der også admin-kodeord i klartekst og informationer til ansigtsgenkendelse i databasen.

Det oplyser The Register med henvisning til en blog om sikkerhedsforskernes arbejde, der ligger hos VPNmentor.

De to sikkerhedsforskere fortæller til The Guardian, at de opdagede den åbenstående database i forbindelse med en port-scanning.

Forskerne kunne desuden manipulere data og tilføje nye brugere.

The Register oplyser, at Biostar 2 bliver brugt til at kontrollere, hvem der går ind og ud af bygninger verden over. Det foregår eksempelvis via RFID-baserede kort (kontaktløse) og fingeraftryk.

Ifølge det britiske tech-medie står Biostar 2 bag 1,5 mio. installationer på verdensplan. Adgangskontrollen kan eksempelvis være via RFID-baserede kort (kontaktløse) eller fingeraftryk.

I det tekniske blogindlæg hos VPNmentor fremgår det blandt andet, at kodeord lå i klartekst i databasen i stedet for at være hashede.

»We were easily able to view passwords across the Biostar 2 database, as they were stored as plaintext files, instead of being securely hashed,« står der er blandt andet i indlægget hos VPNmentor.

I forhold til fingeraftrykkene var det også noget skidt, da de faktiske fingeraftryk viste sig at være lagret i stedet for en afledt værdi.

»Instead of saving a hash of the fingerprint (that can't be reverse-engineered) they are saving people's actual fingerprints that can be copied for malicious purposes,« skriver Rotem og Locar.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Fingeraftryk i Djurs Sommerland ? Det lyder som noget opt-in, og ikke noget de GDPR mæssigt kan forlange.
Biometridata er ikke nødvendigt for at kunne verificere identiten.

Men jeg kan se at man fint kan få sæsonkort uden.

Djurs Sommerlands løsning gemmer angiveligt en hash, som er unik for dem, og ikke er ens på tværs af systemets kunder, ligesom de angiveligt nulstiller databasen hvert år. Dermed mener de at det er tilstrækkeligt sikkert.

  • 1
  • 0
Log ind eller Opret konto for at kommentere