Raporti: Shkelje e të dhënave në Platformën e Sigurisë Biometrike që prek miliona e përdoruesve

Udhëhequr nga studiuesit e intimitetit në internet Noam Rotem dhe Ran Locar, ekipi i vpnMentor zbuluar së fundmi një shkelje e madhe e të dhënave në platformën e sigurisë BioStar 2.  

BioStar 2 është i bazuar në internet platformë mbyllëse inteligjente e sigurisë biometrike. Një aplikim i centralizuar, ai lejon administratorët të kontrolloni hyrjen në zonat e sigurta të objekteve, menaxhoni lejet e përdoruesit, integrohuni me aplikacionet e sigurisë së palëve të treta dhe regjistroni regjistrat e aktiviteteve. 

Si pjesë e softuerit biometrik, BioStar 2 përdor teknologjinë e njohjes së fytyrës dhe të shtypjes së gishtërinjve për të identifikuar përdoruesit.

Aplikacioni është ndërtuar nga Suprema, një nga 50 prodhuesit më të mirë në botë të sigurisë, me pjesën më të lartë të tregut në kontrollin biometrik të hyrjes në rajonin EMEA. Suprema së fundmi u partnerizua me Nedap për të integruar BioStar 2 në sistemin e tyre të kontrollit të qasjes AEOS. 

AEOS është përdorur nga mbi 5.700 organizata në 83 shtete, përfshirë disa nga bizneset më të mëdha shumëkombëshe, shumë biznese të vogla lokale, qeveri, banka dhe madje edhe Policia Metropolitane e Mbretërisë së Bashkuar. 

Të dhënat e zbuluara në shkelje kanë një natyrë mjaft të ndjeshme. Ai përfshin hollësisht informacione personale të punonjësve dhe emrat e përdoruesve dhe fjalëkalimet e pakriptuara, duke u dhënë hakerëve qasje në llogaritë e përdoruesve dhe lejet në objektet që përdorin BioStar 2. Agjentët me qëllim të keq mund ta përdorin këtë për të hak në objektet e sigurta dhe manipulon protokollet e tyre të sigurisë për aktivitete kriminale. 

Kjo është një rrjedhje e madhe që rrezikon si bizneset, ashtu edhe organizatat e përfshira, si dhe punonjësit e tyre. Ekipi ynë ishte në gjendje të përdorë mbi 1 milion regjistrime të gjurmëve të gishtërinjve, si dhe informacione për njohjen e fytyrës. Kombinuar me të dhënat personale, emrat e përdoruesve dhe fjalëkalimet, potenciali për veprimtari kriminale dhe mashtrim është masiv. 

Pasi të jenë vjedhur, informacioni për gjurmët e gishtërinjve dhe njohjen e fytyrës nuk mund të merren. Një individ do të preket potencialisht për pjesën tjetër të jetës së tyre. 

Afati kohor i zbulimit dhe reagimit të pronarit

Pasi zbuluam shkeljen në bazën e të dhënave të BioStar 2, ne kontaktoi kompaninë duke i paralajmëruar ata të gjetjeve tona.

megjithatë, ne gjetëm BioStar 2 përgjithësisht shumë jo-bashkëpunues gjatë gjithë këtij procesi. Ekipi ynë bëri përpjekje të shumta për të kontaktuar kompaninë me email, pa dobi. Përfundimisht, vendosëm t’i drejtohemi zyrave të BioStar 2 me telefon. Përsëri, kompania ishte kryesisht pa përgjigje. 

Pasi folëm me një anëtar të ekipit të tyre gjerman, morëm një përgjigje të mërzitur se “Ne nuk flasim me vpnMentor”, para se telefoni të ishte varur papritmas. Kjo sugjeron se ishin të vetëdijshëm për ne, dhe përpjekjet tona për të zgjidhur çështjen.

Ne gjithashtu u përpoqëm të kontaktonim zyrtarin e pajtueshmërisë së GDPR të BioStar 2, por nuk morëm përgjigje. 

Përfundimisht, pasi folëm me degën më bashkëpunuese franceze përmes telefonit, ndërmarrjet u ndërmorën nga ndërmarrja për të mbyllur shkeljen. 

  • Data e zbuluar: 5 gusht 2019
  • Kontratorët e datës kontaktuan: 7 gusht 2019
  • Data e veprimit: 13 gusht, shkelja u mbyll

Shembull i hyrjeve në bazën e të dhënave

Si një zgjidhje e centralizuar e sigurisë, Baza e të dhënave BioStar 2 përmbante pothuajse çdo lloj të dhënash të ndjeshme në dispozicion. 

Biostar-2-AirportKjo mund të jetë të përdorura në një gamë të gjerë veprimtarish kriminale ajo do te ishte katastrofike si për bizneset ashtu edhe për organizatat e prekura, si dhe për punonjësit ose klientët e tyre. 

Ekipi ynë ishte të aftë për të hyrë në mbi 27.8 milion regjistrime, në total 23 gigabajt të të dhënave, i cili përfshin informacionin e mëposhtëm:

  • Qasje në panelet e administratorit të klientit, pultet, kontrollet e prapme dhe lejet 
  • Të dhëna për gjurmët e gishtave 
  • Informacione për njohjen e fytyrës dhe imazhe të përdoruesve
  • Emrat e përdoruesve, fjalëkalimet dhe ID-të e pakriptuara
  • Regjistrimet e hyrjes dhe daljes në zona të sigurta
  • Të dhënat e punonjësve përfshirë datat e fillimit
  • Nivelet dhe lejet e sigurisë së punonjësve
  • Detaje personale, përfshirë adresën e shtëpisë së punonjësve dhe emailet
  • Strukturat dhe hierarkitë e punonjësve të bizneseve
  • Informacioni i pajisjes celulare dhe OS

Një nga aspektet më befasuese të kësaj rrjedhje ishte sa të pasigurta ishin fjalëkalimet e llogarisë që kemi hyrë. Shumë llogari kishin fjalëkalime qesharake të thjeshta, si “Fjalëkalimi” dhe “abcd1234”. Shtë e vështirë të imagjinohet që njerëzit ende nuk e kuptojnë sa e lehtë e bën këtë një haker të hyjë në llogarinë e tyre. 

Biostar-2-Easy-PWSigurisht, shumë përdorues krijuan fjalëkalime më të komplikuara dhe efektive që normalisht do të ishte e vështirë të zbulohej ose deshifrohej. megjithatë, ne ishim lehtësisht në gjendje të shikonim fjalëkalimet në të gjithë bazën e të dhënave BioStar 2, pasi ato ishin të ruajtura si skedarë të thjeshtë teksti, në vend që të ishin hash mirë.

Biostar2-KibanaGama e bizneseve të prekura nga rrjedhja ndryshonte gjerësisht në madhësi, vendndodhje, industri dhe përdorues. Disa shembuj të bizneseve, informacioni i të cilave ne ishim në gjendje t’i qasnim dhe shikonim në të gjithë botën, përfshinin:

SHBA

  • Shtëpia e Anëtarëve të Unionit – Klub i hapësirës dhe bashkëpunimit shoqëror me 7,000 përdorues.
  • Lits Link – Konsulencë për zhvillimin e softuerit.
  • Phoenix Medical – prodhues i produkteve mjekësore.

Indonezi

  • Uptown – Hapësirë ​​lidhëse me bazë Jakarta me 123 përdorues.

India dhe Sri Lanka

  • Palestra Power World – ekskluzivitet palestër në klasë të lartë me degë në të dy vendet. Ne kemi hyrë në 113.796 regjistrime të përdoruesve dhe gjurmëve të gishtërinjve të tyre.

Mbretëria e Bashkuar

  • Burimet e asociuara të polimerit – specialistë të riciklimit të plastikës.
  • Tile Mountain – dekor shtëpiak dhe furnizues DIY.  
  • Farla Medical – Dyqan furnizimesh mjekësore.

Emiratet e Bashkuara Arabe

  • Global Village – Një festival kulturor vjetor, me qasje në 15,000 gjurmët e gishtërinjve.
  • IFFCO – grupi i produkteve ushqimore të konsumit.

Finlandë

  • Euro Park – Zhvillues i hapësirës së parkimit të makinave me site në të gjithë Finlandën. 

Turqi

  • Ostim – Zhvillues i ndërtimit të zonës industriale.   

Japoni

  • Inspired.Lab – Hapësira lidhëse dhe projektimi në Chiyoda City, Tokio.  

Belgjikë

  • Adecco Staffing – Ne gjetëm afro 2,000 gjurmë gishtash të lidhura me gjigantin e personelit dhe burimeve njerëzore.

Gjermani

  • Baza e identifikimit – Të dhënat që i përkasin këtij furnizuesi të ID tregtare dhe teknologjisë së shtypjes së kartave të hyrjes u gjetën gjithashtu në bazën e të dhënave të ekspozuara.

Ndoshta shqetësimi më i madh në këtë rrjedhje është madhësia e tij. Përdoruesit e BioStar 2 janë përhapur në të gjithë botën, me përdoruesit e ardhshëm të mundshëm përfshirë qeveritë, bankat, universitetet, kontraktorët e mbrojtjes, policinë dhe bizneset shumëkombëshe. 

Platforma ka mbi 1.5 milion instalime në të gjithë botën, dhe të gjitha këto mund të jenë të prekshme nga kjo rrjedhje. Numri i përgjithshëm i personave të prekur mund të jetë në dhjetëra miliona. 

Ndikimi i thyerjes së të dhënave

Njohja e fytyrës dhe informacioni i gjurmëve të gishtërinjve nuk mund të ndryshohen. Pasi ato janë vjedhur, ajo nuk mund të zhvishet. Mënyra e pasigurt në të cilën BioStar 2 ruan këto informacione është shqetësuese, duke marrë parasysh rëndësinë e saj, dhe faktin që BioStar 2 është ndërtuar nga një kompani e sigurisë. 

Në vend që të kurseni një hash të gjurmëve të gishtërinjve (që nuk mund të ndërtohen me motive të kundërt) ata po kursejnë gjurmët e gishtave të vërtetë të njerëzve që mund të kopjohen për qëllime dashakeqe.

Vendosja së bashku të gjitha të dhënat e gjetura në rrjedhje, kriminelët e të gjitha llojeve mund të përdorin këtë informacion për aktivitete të ndryshme të paligjshme dhe të rrezikshme.

Marrja e llogarive dhe shkeljet e sigurisë

Me këtë rrjedhje, kriminale hakerat kanë qasje të plotë në llogaritë e administratorit në BioStar 2. Ata mund ta përdorin këtë për të marrë një llogari të nivelit të lartë me leje të plotë të përdoruesve dhe lejet e sigurisë, dhe bëni ndryshime në cilësimet e sigurisë në një rrjet të tërë. 

Jo vetëm që ata mund të ndryshojnë lejet e përdoruesit dhe t’i bllokojnë njerëzit jashtë zonave të caktuara, por gjithashtu mund të krijoni llogari të reja të përdoruesve – të plotë me njohjen e fytyrës dhe gjurmët e gishtërinjve – për t’i dhënë vetes akses për të siguruar zona brenda një ndërtese ose objekti. 

Për më tepër, hakerat mund të ndryshojnë gjurmët e gishtërinjve të llogarive ekzistuese të tyre dhe rrëmbeni një llogari të përdoruesit për të hyrë në zonat e kufizuara të pazbuluara. Hakerët dhe kriminelët e tjerë mund të ishin potencialisht krijoni biblioteka të gjurmëve të gishtërinjve që do të përdoren në çdo kohë ata duan të hyjnë diku pa u zbuluar. 

Kjo siguron një haker dhe ekipin e tyre hyrje e hapur për të gjitha zonat e kufizuara të mbrojtura me BioStar 2. Ata gjithashtu kanë qasje në regjistrat e aktiviteteve, kështu ata mund të fshijnë ose ndryshojnë të dhënat për të fshehur aktivitetet e tyre. 

Si rezultat, e gjithë infrastruktura e sigurisë e një ndërtese të hakuar bëhet e padobishme. Dokush me këto të dhëna do të ketë lëvizje të lirë për të shkuar kudo ku zgjedhin, të pazbuluar.

Grabitja dhe Mashtrimi

Rreziku më i dukshëm për t’i dhënë hakerit ose aksesit të plotë kriminal në një ndërtesë të sigurt është vjedhja. Ata munden përdorni këtë bazë të dhënash për të ecur mjaft fjalë për fjalë në një dhomë dhe për të marrë ndonjë vlerë.

Kjo është e vërtetë, pavarësisht nga natyra e ndërtesës, pavarësisht nëse është një palestër e qytetit të vogël apo një zyrë qeveritare. 

Rrjedhje gjithashtu i jep hakerat qasje në rrjete të mbyllura ndryshe që ata mund të mos jenë në gjendje të arrijnë nga jashtë një ndërtese. Me këtë, ata munden vjedhin informacione të vlefshme, viruse bimore, monitorojnë dhe shfrytëzojnë sisteme dhe shumë më tepër. 

Vjedhja e Identitetit dhe Mashtrimi

Rrjedhja e BioStar 2 përmbante sasi të mëdha të detajeve personale individuale krahas emrave të përdoruesve, gjurmëve të gishtërinjve dhe imazheve. Kjo përfshinte të dhënat e punësimit, adresat e postës elektronike dhe adresat e shtëpisë. 

Përveç shqetësimeve të sigurisë për bizneset e prekura, punonjësit dhe klientët tani mund të jenë të synuara për mashtrim dhe krime të tjera.

Të njëjtat detaje personale mund të përdoren gjithashtu krijoni fushata efektive të phishing. Një fushatë phishing është përdorimi i postave elektronike të imitimit për të mashtruar viktimat në klikimin e një lidhjeje të ngulitur me malware ose sigurimin e informacionit që mund të përdoret për të vjedhur prej tyre. Me detajet personale dhe profesionale të disponueshme në këtë rrjedhje, krijimi i fushatave efektive të phishing nuk do të ishte e vështirë.

Të dhënat e BioStar 2 japin kriminelë në internet një themel i fortë për të shfrytëzuar përdoruesit për përfitime të paligjshme financiare. Ata gjithashtu mund të shes informacionin – përfshirë gjurmët e gishtërinjve – në rrjetin e errët te kriminelët e tjerë ose agjentët e këqij. Kjo mund të çojë në shumë veprimtari të pasakta, inkriminuese të kryera me të dhënat e përdoruesve të pafajshëm BioStar 2. 

Shantazh dhe zhvatje

Synimi i punonjësve të caktuar për shantazhe ose zhvatje bazuar në lejet e tyre të hyrjes në një biznes është një taktikë popullore e përdorur nga kriminelët në të gjithë botën. Lejon një haker të fitojnë qasje në informacione ose asete të vlefshme pa e vënë veten në rrezik fizik. 

Shkelja në Baza e të dhënave e BioStar 2 lejon hakerët të shikojnë lirimet individuale të sigurisë brenda një organizate dhe synoni individë të nivelit të lartë për shantazhe dhe zhvatje bazuar në këtë. 

Duke përdorur detajet personale të disponueshme, ata mund t’i bëjnë kërcënimet e tyre shumë efektive, duke hyrë në informacionin privat dhe shfrytëzimi i dobësive personale si familja ose marrëdhëniet. Kjo vendos punonjësit e klientëve të prekur BioStar 2 nën një rrezik shumë të madh.  

Përdorimi i gjurmëve të gishtërinjve të vjedhur

Përdorimi i sigurisë biometrike si shenjat e gishtërinjve është një zhvillim i fundit. Si i tillë, rreziku i plotë i mundshëm për të vjedhur gjurmët e gishtërinjve është akoma i panjohur. 

Sidoqoftë, gjëja e rëndësishme që duhet të mbani mend është ajo pasi të jetë vjedhur, ndryshe nga fjalëkalimet, gjurmët e gishtit nuk mund të ndryshohen. 

Kjo e bën vjedhjen e të dhënave të gjurmëve të gishtërinjve edhe më shqetësuese. Gjurmët e gishtërinjve po zëvendësojnë fjalëkalimet e shtypura në shumë artikuj të konsumatorit, si telefonat. Shumica e skanuesve të gjurmëve të gishtërinjve në mallrat e konsumit janë të pakriptuara, kështu që kur një haker zhvillon teknologji për të përsëritur gjurmët e gishtit, ata do të bëjnë fitoni mundësinë e përdorimit të të gjitha informacioneve private siç janë mesazhet, fotot dhe mënyrat e pagesës të ruajtura në pajisjen tuaj. 

Kjo është vetëm një çështje e mundshme e shumë njerëzve. 

Për BioStar 2, një nga çështjet më të mëdha tani është reputacioni. Ne jemi të shqetësuar se një kompani e sigurisë nuk ka arritur të mbrojë plotësisht klientët e saj.

Në duart e hakerave kriminelë, të gjitha këto të dhëna mund të ishin shkarkuar dhe ruajtur për përdorim të mëvonshëm në një larmi krimesh. 

Këshilla nga ekspertët

Kjo rrjedhje mund të ishte shmangur lehtësisht, i bënë prodhuesit e BioStar 2 të ndërmarrin disa masa paraprake themelore të sigurisë. Derisa informacioni që gjetëm mund të kishte akoma duke u bërë në duart e hakerëve kriminelë, ne sugjerojmë në vijim BioStar 2 dhe Suprema:

  1. Siguroni serverët tuaj me masa më të mira mbrojtjeje.
  2. Mos i ruani gjurmët e gishtërinjve aktualë të përdoruesve. Ruani një version hash që nuk mund të ndërtohet me motor të kundërt. 
  3. Zbatoni rregullat e duhura të hyrjes në bazat e të dhënave tuaja.
  4. Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin.

Në vend që të kurseni një hash të gjurmëve të gishtërinjve (që nuk mund të ndërtohen me anën e kundërt) ata po kursejnë gjurmën e gishtit aktual që më pas mund të përdoret për të krijuar një kopje për qëllime dashakeqe.

Këshillë për klientët BioStar 2

Nëse biznesi ose organizata juaj po përdor BioStar 2 dhe jeni i shqetësuar se jeni prekur nga kjo shkelje e të dhënave, ju sugjerojmë kontaktoni Suprema për më shumë detaje. 

Ne gjithashtu sugjerojmë duke ndryshuar fjalëkalimin në pultin tuaj BioStar 2 menjëherë dhe duke njoftuar stafin për të ndryshuar fjalëkalimet e tyre personale.

Për më tepër, ne sugjerojmë krijimin e një udhëzuesi ose ndarjen e mjeteve me stafin tuaj për t’i ndihmuar ata të gjenerojnë fjalëkalime të sigurta. Ekzistojnë shumë matës të fjalëkalimit në internet për të siguruar që ato mbrohen më mirë.

Për një udhëzues të thelluar se si të mbroni biznesin tuaj në internet, shikoni se si të siguroni uebfaqen tuaj dhe bazën e të dhënave online nga hakerat.

Këshillë për përdoruesit 

Nëse punëdhënësi juaj, ose një biznes që jeni klient, përdorni BioStar 2, informacioni juaj personal, gjurmët e gishtërinjve dhe të dhënat e njohjes së fytyrës mund të jenë zbuluar.

Ju duhet të njoftoni biznesin ose punëdhënësin për shqetësimet tuaja dhe të siguroheni që ata janë të vetëdijshëm për rrjedhjen e të dhënave. 

Nëse shqetësoheni për dobësitë e të dhënave në përgjithësi, lexoni udhëzuesin tonë të plotë për privatësinë në internet. Kjo ju tregon shumë mënyra se si ju mund të synoheni nga kriminelët në internet, dhe hapat që mund të ndërmarrni për të qëndruar të sigurt. 

Si dhe pse e zbuluam shkeljen

Ekipi hulumtues i vpnMentor gjeti shkeljen përmes një projekt i madh për hartimin e faqes në internet. I kryesuar nga Noam dhe Ran, ekipi skanon portet duke kërkuar blloqe IP të njohura. Ata i përdorin këto blloqe për të gjetur vrimat në sistemin e uebit të një kompanie. Pasi të gjenden këto vrima, ekipi kërkon për dobësi që do t’i çojnë ata në një shkelje të të dhënave.

Ekipi zbuloi se pjesë të mëdha të bazës së të dhënave të BioStar 2 janë të pambrojtur dhe kryesisht të pakriptuara. Kompania përdor një bazë të dhënash Elasticsearch, e cila zakonisht nuk është krijuar për përdorim URL. Sidoqoftë, ne kemi qenë në gjendje t’i qasemi asaj përmes shfletuesit dhe të manipulojmë kriteret e kërkimit të URL-së në ekspozimin e sasive të mëdha të të dhënave. 

Duke përdorur ekspertizën e tyre, ata gjithashtu ekzaminoi bazën e të dhënave për të konfirmuar identitetin e saj.

Si hakerë etikë, ne jemi të detyruar të arrijmë në faqet e internetit kur zbulojmë të metat e sigurisë. Kjo është veçanërisht e vërtetë kur shkelja e të dhënave të një kompanie prek kaq shumë njerëz dhe përmban të dhëna të tilla të ndjeshme.

Sidoqoftë, këto etikë nënkuptojnë gjithashtu ne mbajmë një përgjegjësi para publikut. Klientët e BioStar 2 dhe punonjësit e tyre duhet të jenë të vetëdijshëm për rreziqet që ata marrin kur përdorin teknologjinë që bën kaq pak përpjekje për të mbrojtur përdoruesit e tyre.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për shqyrtimin e VPN-së. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.

Kohët e fundit zbuluam një shkelje të madhe të të dhënave që prek 80 milion familjet e SHBA. Ne gjithashtu zbuluam që Gearbest pësoi një shkelje masive të të dhënave. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

ju lutem ndajeni këtë raport në Facebook ose cicërojeni atë.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me