Больше миллиона отпечатков пальцев и других конфиденциальных данных попали в сеть благодаря компании биометрической безопасности, сообщили исследователи.
Исследователи, работающие с компанией, занимающейся системами кибербезопасности VPNMentor сообщили, что они получили доступ к данным из компонента безопасности, Биостар два.
Данный компонент применяют тысячи фирм по всему миру, чтобы контролировать доступ на охраняемых объектах, в том числе британская полиция.
Компания Suprema, разработчик Биостар два, сообщила, что решает эту проблему
«Если существует какая-либо угроза безопасности наших продуктов и услуг, мы принимаем немедленные меры и отправим соответствующие уведомления для защиты ценной информации и активов наших клиентов», — сообщил представитель компании.
По сведениям Vpn monitor, утрата данных, замеченная пятого августа, была устранена 13 августа.
Как долго данные были в открытом доступе — неизвестно.
Помимо записей отпечатков пальцев, в базе содержались фотографии людей, данные распознавания лиц, имена, пароли, сведения о работе, и времени создания учетных записей.
Среди британских организаций, непосредственно пострадавших от утечки, была Tile Mountain, поставщик товаров для дома.
«Biostar 2 использовался только в главном офисе компании в Сток-он-Трент», -сказал ИТ-директор Колин Хэмпсон.
«С 26 февраля 2018 года Tile Mountain не была «активным клиентом» Suprema и хранила биометрические данные на своих внутренних серверах.
Несмотря на то, что Tile Mountain не является активным клиентом Suprema, у нас не было никаких уведомлений, что данные могут быть скомпрометированы — хотя это потенциально могло помешать Tile Mountain выполнять свои обязательства по GDPR [Общее Регулирование Защиты Данных]», — добавил он.
Suprema «повесила трубку»
«Безумие, просто безумие», -сказал Ноам Ротем, один из исследователей, обнаруживших уязвимость.
Он отметил, что биометрическую информацию, такую, как отпечатки пальцев — невозможно скрыть повторно.
У него и его коллег были сложности при попытке сообщить о уязвимости Суприма.
«Мы начали обзванивать все офисы один за другим, и нам приходилось иметь дело с людьми, которые просто вешали трубку», — сказал он.
В общей сложности в интернете было обнаружено 23 гигабайта данных, содержащих почти 30 миллионов записей.
«Эта информация может быть использована для совершения множества преступлений, которые будут иметь катастрофические последствия для предприятий и организаций, а также их сотрудников или клиентов», — сказал VPNMentor в блоге об уязвимости.
Утечка данных была «ужасной», по словам Саймона Берчалла, управляющего директора Timeshare, британской фирмы, которая устанавливает считыватели отпечатков пальцев Suprema. Бирчелл сказал, что Time warner разработала собственное программное обеспечение для устройств и не предоставляла Biostar 2 клиентам.
«Похоже, что кто-то взял стандартный продукт Biostar 2 и установил его в открытой сети», — сказал он Би-би-си. «Это просто глупо.»
Полицейская проверка
Мистер Ротем рассказал, что был затронут ряд британских компаний.
Однако он не сообщил их названия, потому что он и его команда не скачивали все данные, которые они нашли, чтобы ограничить последствия нарушения конфиденциальности.
Представитель полиции сообщил, что сейчас проводится проверка проверяют, стали ли они одной из таких организаций.
Список компаний, чьи данные попали в открытый доступ:
Power World Gyms, франшиза тренажерного зала в Индии и Шри-Ланке — 113 796 записей пользователей, включая отпечатки пальцев.
Global Village, ежегодный фестиваль в Объединенных Арабских Эмиратах — 15 000 отпечатков пальцев.
Компания Adecco персонал, бельгийское рекрутинговое агентство — 2,000 отпечатков пальцев.
Suprema на запрос журналистов не ответила.