Datalek met biometrische gegevens van miljoen gebruikers ontdekt
Een omvangrijke databank met zowat een miljoen vingerafdrukken en andere biometrische gegevens was zo goed als onbeschermd op het internet terug te vinden. Dat hebben Israëlische beveilingsonderzoekers ontdekt.
De gegeven zijn afkomstig van het systeem ‘Biostar 2’ van de Zuid-Koreaanse firma Suprema, die naar eigen zeggen de Europese marktleider is voor toegangscontrolesystemen op basis van biometrische data. Door het systeem kunnen biometrische gegevens zoals vingerafdrukken of gezichtsscans als sleutel dienen voor een platform dat met het internet is verbonden.
Smartphones worden al op deze manier ontgrendeld. Maar ook ondernemingen kunnen op die manier de toegangscontrole tot hun gebouwen zelf organiseren. Volgens de Britse krant The Guardian wordt het systeem ook door de Britse politie en door verschillende defensiebedrijven en banken gebruikt. Het was dan ook die krant die de informatie over het lek naar buiten bracht, samen met het Israëlische Calcalist.
Het datalek werd ontdekt door de Israëlische hackers Noam Rotem en Ran Lokar, die werken voor de beveiligingsbedrijf vpnMentor. Zij stelden vast dat het mogelijk is om volledige controle over de accounts in het systeem te krijgen. De onderzoekers hadden toegang tot meer dan 27,8 miljoen datasets en 23 gigabyte aan gegevens.
Daarbij bevonden zich onder meer vingerafdruk- en gezichtsherkenningsdata, gezichtsfoto's van gebruikers, niet-gecodeerde gebruikersnamen en wachtwoorden en ook persoonlijke gegevens van personeelsleden. Bovendien konden de gegevens gemanipuleerd worden en konden nieuwe gebruikers worden aangemaakt.
Suprema heeft in een reactie aan The Guardian laten weten dat er een “grondige evaluatie” werd gemaakt op basis van de bevindingen van vpnMentor. Het beveiligingslek is intussen weer afgesloten.