De gegeven zijn afkomstig van het systeem ‘Biostar 2’ van de Zuid-Koreaanse firma Suprema, die naar eigen zeggen de Europese marktleider is voor toegangscontrolesystemen op basis van biometrische data. De Britse krant The Guardian en het Israëlische Calcalist hebben de informatie over het lek naar buiten gebracht.

Banken

Biostar 2 is een systeem waarbij vingerafdrukken of gezichtsscans via een webgebaseerd platform als sleutel gebruikt kunnen worden. Ondernemingen kunnen op die manier de toegangscontrole tot hun gebouwen zelf organiseren. Volgens The Guardian wordt het systeem ook door de Britse politie en door verschillende defensiebedrijven en banken gebruikt.

Het datalek werd ontdekt door de Israëlische hackers Noam Rotem en Ran Lokar, die werken voor de beveiligingsbedrijf vpnMentor. Zij stelden vast dat het mogelijk is om volledige controle over de accounts in het systeem te krijgen.

23 gigabyte

De onderzoekers hadden toegang tot meer dan 27,8 miljoen datasets en 23 gigabyte aan gegevens. Daarbij bevonden zich onder meer vingerafdruk- en gezichtsherkenningsdata, gezichtsfoto’s van gebruikers, niet-gecodeerde gebruikersnamen en wachtwoorden en ook persoonlijke gegevens van personeelsleden. Bovendien konden de gegevens gemanipuleerd worden en konden nieuwe gebruikers worden aangemaakt.

Suprema heeft in een reactie aan The Guardian laten weten dat er een “grondige evaluatie” werd gemaakt op basis van de bevindingen van vpnMentor. Het beveiligingslek is intussen weer afgesloten.