דוח: הפרת נתונים בפלטפורמת אבטחה ביומטרית המשפיעים על מיליוני משתמשים


בראשות חוקרי הפרטיות באינטרנט נועם רותם ורן לוקר, צוות vpnMentor גילה לאחרונה הפרת נתונים ענקית בפלטפורמת האבטחה BioStar 2.  

BioStar 2 הוא מבוסס אינטרנט פלטפורמת נעילה חכמה ביומטרית. אפליקציה ריכוזית, היא מאפשרת למנהלי מערכת לשלוט על הגישה לאזורי מתקנים מאובטחים, לנהל הרשאות משתמש, להשתלב עם אפליקציות אבטחה של צד שלישי ולרשום יומני פעילות. 

כחלק מהתוכנה הביומטרית, BioStar 2 משתמש בטכנולוגיית זיהוי פנים וטביעת אצבעות כדי לזהות משתמשים.

האפליקציה היא נבנה על ידי Suprema, אחד מחמישים יצרני האבטחה המובילים בעולם, עם נתח השוק הגבוה ביותר בבקרת גישה ביומטרית באזור EMEA. Suprema שיתף פעולה לאחרונה עם Nedap כדי לשלב את BioStar 2 במערכת בקרת הגישה שלהם AEOS. 

AEOS משמשת מעל 5,700 ארגונים ב -83 מדינות, כולל כמה מהעסקים הרב-לאומיים הגדולים ביותר, עסקים מקומיים קטנים רבים, ממשלות, בנקים ואפילו המשטרה המטרופוליטית בבריטניה.. 

הנתונים שדלפו בהפרה הם בעלי אופי רגיש ביותר. זה כולל פירוט מידע אישי של עובדים ושמות משתמש וסיסמאות לא מוצפנים, מתן האקרים לחשבונות משתמש והרשאות במתקנים המשתמשים ב- BioStar 2. סוכנים זדוניים עלולים להשתמש בזה לפרוץ למתקנים מאובטחים ולתפעל את פרוטוקולי האבטחה שלהם לפעילות פלילית. 

זו נזילה אדירה שמסכנת גם את העסקים וגם את הארגונים המעורבים, כמו גם את עובדיהם. הצוות שלנו הצליח לגשת ליותר ממיליון רשומות טביעות אצבע, כמו גם למידע על זיהוי פנים. בשילוב עם הפרטים האישיים, שמות המשתמש והסיסמאות, הפוטנציאל לפעילות פלילית והונאה הוא עצום. 

לאחר שנגנב, לא ניתן לאחזר מידע על טביעות אצבע וזיהוי פנים. אדם יכול להיות מושפע כל החיים. 

ציר הזמן של תגלית ותגובת בעלים

לאחר שגילינו את הפרצה במאגר המידע של ביו סטאר 2, אנו יצר קשר עם החברה בהתראה על כך מהממצאים שלנו.

למרות זאת, מצאנו ש- BioStar 2 בדרך כלל מאוד לא משתף פעולה לאורך כל התהליך הזה. הצוות שלנו עשה ניסיונות רבים ליצור קשר עם החברה דרך דואר אלקטרוני, ללא הועיל. בסופו של דבר החלטנו לפנות טלפונית למשרדי BioStar 2. שוב, החברה הייתה לא מגיב ברובו. 

כשדיברנו עם אחד מחברי הצוות הגרמני, קיבלנו תשובה ממולמלת ש "אנחנו לא מדברים עם vpnMentor", לפני שהטלפון ניתק פתאום. זה מרמז שהם היו מודעים לנו וניסיונותינו לפתור את הבעיה.

ניסינו ליצור קשר עם קצין הציות של ה- GDPR של BioStar 2 אך לא קיבלנו תשובה. 

בסופו של דבר, אחרי שדיבר עם הסניף הצרפתי השיתופי יותר בטלפון, החברה ננקטה צעדים לסגירת ההפרה. 

  • תאריך התגלה: 5 באוגוסט 2019
  • ספקי תאריך יצרו קשר: 7 באוגוסט 2019
  • תאריך הפעולה: 13 באוגוסט ההפרה נסגרה

דוגמה לערכים במסד הנתונים

כפתרון אבטחה מרכזי, בסיס הנתונים של ביו סטאר 2 הכיל כמעט כל סוג של נתונים רגישים. 

Biostar-2-Airportזה יכול להיות משמש במגוון רחב של פעילויות פליליות זה יהיה הרת אסון הן לעסקים והן לארגונים שנפגעו, כמו גם לעובדים או ללקוחות שלהם. 

הצוות שלנו היה המסוגלים לגשת ליותר מ 27.8 מיליון רשומות, בסך הכל 23 ג'יגה-נתונים, שכלל את המידע הבא:

  • גישה ללוחות ניהול לקוחות, מרכזי שליטה, בקרות אחוריות והרשאות 
  • נתוני טביעות אצבע 
  • מידע על זיהוי פנים ותמונות של משתמשים
  • שמות משתמש לא מוצפנים, סיסמאות ומזהי משתמש
  • רשומות של כניסה ויציאה לאזורים מאובטחים
  • רישומי עובדים כולל תאריכי התחלה
  • רמות ואישור אישורים של עובדים
  • פרטים אישיים, כולל כתובת בית עובדים ודוא"ל
  • מבני עובדים והיררכיות של עסקים
  • מידע על מכשירים ניידים ומערכת הפעלה

אחד ההיבטים היותר מפתיעים של הדליפה הזו היה עד כמה סיסמאות החשבון שאליהן הגשנו לא היו מאובטחות. להרבה חשבונות היו סיסמאות פשוטות להפליא, כמו "סיסמה" ו- "abcd1234". קשה לדמיין שאנשים עדיין לא מבינים כמה קל זה מאפשר להאקר לגשת לחשבון שלהם. 

Biostar-2-Easy-PWכמובן, משתמשים רבים יצרו סיסמאות מורכבות ויעילות יותר זה בדרך כלל יהיה קשה לגלות או לפענח. למרות זאת, הצלחנו בקלות להציג סיסמאות במסד הנתונים של BioStar 2, כפי שהם אוחסנו כקבצי טקסט רגילים, במקום להיות מאובטחים היטב.

Biostar2-Kibanaמגוון העסקים שהושפעו מהדליפה השתנה מאוד בגודל, במיקום, בתעשייה ובמשתמשים. כמה דוגמאות לעסקים שהמידע שלהם יכולנו לגשת לצפייה ברחבי העולם כללו:

ארה"ב

  • בית החברים באיגוד - מרחב עמיתים לעבודה ומועדון חברתי עם 7,000 משתמשים.
  • Lits Link - ייעוץ לפיתוח תוכנה.
  • פיניקס מדיקל - יצרנית מוצרים רפואיים.

אינדונזיה

  • Uptown - שטח עבודות מבוסס ג'קרטה עם 123 משתמשים.

הודו וסרי לנקה

  • מכוני כושר עולמיים - זיכיון כושר ברמה גבוהה עם סניפים בכל שתי המדינות. הגענו אל 113,796 רשומות משתמשים וטביעות האצבע שלהם.

הממלכה המאוחדת

  • מקורות פולימרים קשורים - מומחי מיחזור פלסטיקה.
  • הר אריחים - עיצוב בית וספק DIY.  
  • פארלה מדיקל - חנות אספקה ​​רפואית.

איחוד האמירויות

  • הכפר הגלובלי - פסטיבל תרבות שנתי, עם גישה ל 15,000 טביעות אצבע.
  • IFFCO - קבוצת מוצרי מזון לצרכן.

פינלנד

  • יורו פארק - מפתח חניות רכב עם אתרים ברחבי פינלנד. 

טורקיה

  • אוסטים - יזם בניה של אזור התעשייה.   

יפן

  • Inspired.Lab - חללי עבודה ועיצוב בעיר צ'יודה, טוקיו.  

בלגיה

  • איוש אדקקו - מצאנו כ -2,000 טביעות אצבעות הקשורות לענק האיוש והמשאבים האנושיים.

גרמניה

  • Identbase - נתונים השייכים לספק זה של תעודת זהות מסחרית וטכנולוגיית כרטיסי גישה נמצאו גם בבסיס הנתונים החשוף.

אולי הדאגה הגדולה ביותר בהדלפה זו היא גודלה. משתמשי ביו סטאר 2 פרוסים ברחבי העולם, כאשר משתמשים עתידיים פוטנציאליים כוללים ממשלות, בנקים, אוניברסיטאות, קבלני ביטחון, משטרה ועסקים רב לאומיים.. 

בפלטפורמה יש למעלה ממיליון וחצי התקנות ברחבי העולם, וכל אלה עלולים להיות חשופים לדליפה זו. המספר הכולל של האנשים שנפגעו יכול להיות בעשרות מיליונים. 

השפעת הפרת נתונים

לא ניתן לשנות מידע על זיהוי פנים ומידע על טביעות אצבע. ברגע שהם נגנבים, לא ניתן לבטל את זה. הצורה הבלתי מאובטחת שבה BioStar 2 מאחסנת מידע זה מדאיגה, בהתחשב בחשיבותו והעובדה שביוסטאר 2 נבנה על ידי חברת אבטחה.. 

במקום לחסוך חשיש של טביעת האצבע (שלא ניתן להנדסה הפוכה) הם חוסכים טביעות אצבע של אנשים שניתן להעתיק למטרות זדוניות.

מחבר את כל הנתונים שנמצאו בדליפה יחד, פושעים מכל הסוגים יוכלו להשתמש במידע זה לפעילויות בלתי חוקיות ומסוכנות מגוונות.

השתלטות על חשבונות והפרות אבטחה

עם הדליפה הזו, פלילי להאקרים גישה מלאה לחשבונות מנהל ב- BioStar 2. הם יכולים להשתמש בזה כדי להשתלט על חשבון ברמה גבוהה עם הרשאות משתמש מלאות ואישורי אבטחה, ו- בצע שינויים בהגדרות האבטחה ברשת שלמה. 

לא רק שהם יכולים לשנות הרשאות משתמשים ולנעול אנשים מתחומים מסוימים, אלא שהם יכולים גם כן ליצור חשבונות משתמש חדשים - שלמים עם זיהוי פנים וטביעות אצבע - כדי לתת לעצמם גישה לאבטחת אזורים בתוך בניין או מתקן. 

יתר על כן, האקרים יכולים לשנות את טביעות האצבע של חשבונות קיימים שלהם ושל לחטוף חשבון משתמש כדי לגשת לאזורים מוגבלים שלא זוהו. האקרים ופושעים אחרים עשויים לעשות זאת ליצור ספריות של טביעות אצבעות לשימוש בהן בכל עת הם רוצים להיכנס איפשהו מבלי שאותרו אותם. 

זה מספק האקר והצוות שלהם גישה פתוחה לכל אזורים מוגבלים המוגנים באמצעות BioStar 2. יש להם גישה גם ליומני פעילות, כך הם יכולים למחוק או לשנות את הנתונים כדי להסתיר את הפעילויות שלהם. 

כתוצאה, כל תשתית האבטחה של בניין פרוץ הופכת לחסרת תועלת. לכל מי שיש לו נתונים אלה תהיה תנועה חופשית לנסוע לכל מקום שהוא יבחר, ​​ולא יגלה.

שוד והונאה

הסכנה הברורה ביותר של מתן גישה להאקר או עבריין גישה מלאה לבניין מאובטח היא גניבה. הם יכולים השתמש בבסיס הנתונים הזה כדי ממש להיכנס לחדר ולקחת כל דבר בעל ערך.

זה נכון לא משנה מה אופי הבניין, בין אם זה חדר כושר בעיירה קטנה או משרד ממשלתי. 

גם הדליפה מעניקה להאקרים גישה לרשתות סגורות אחרת שהם אולי לא יוכלו להגיע מחוץ לבניין. עם זה הם יכולים לגנוב מידע חשוב, לנגוס וירוסים, לפקח ולנצל מערכות ועוד ועוד. 

גניבת זהות והונאה

דליפת ה- BioStar 2 הכילה כמויות עצומות של פרטים אישיים פרטיים לצד שמות המשתמשים, טביעות האצבע והתמונות. זה כלל רישומי תעסוקה, כתובות דוא"ל וכתובות בית. 

מלבד חששות האבטחה של עסקים שנפגעו, עובדים ועובדים יכולים כעת להיות מכוון להונאה ופשעים אחרים.

אותם פרטים אישיים ניתן להשתמש גם בהם ליצור קמפיין דיוג יעיל. קמפיין דיוג הוא שימוש בדוא"ל חיקוי כדי להערים על קורבנות לחיצה על קישור המוטמע בתוכנה זדונית או לספק מידע שניתן להשתמש בו כדי לגנוב מהם. עם הפרטים האישיים והמקצועיים הקיימים בדליפה זו, יצירת מסעות פרסום דיוג יעילים לא תהיה קשה.

נתוני ה- BioStar 2 מעניקים עברייני רשת בסיס איתן לניצול משתמשים לטובת רווח כספי לא חוקי. הם יכולים גם למכור את המידע - כולל טביעות אצבעות - באינטרנט האפל לעבריינים אחרים או לסוכנים זדוניים. זה יכול להוביל פעילויות רבות שאינן ניתנות לביצוע, מפלילות, המבוצעות על פי נתונים של משתמשי BioStar 2 חפים מפשע. 

סחיטה וסחיטה

הכוונת עובדים מסוימים לסחיטה או סחיטה על סמך הרשאות הגישה שלהם בעסק היא טקטיקה פופולרית המשמשת עבריינים ברחבי העולם. זה מאפשר להאקר לעשות זאת לקבל גישה למידע או נכסים בעלי ערך מבלי להכניס את עצמם לסכנה פיזית. 

הפריצה פנימה מאגר המידע של BioStar 2 מאפשר להאקרים להציג אישורי אבטחה פרטניים בתוך ארגון מכוון לאנשים ברמה גבוהה לסחיטה וסחיטה בהתבסס על זה. 

באמצעות הפרטים האישיים הקיימים, הם יכולים להפוך את האיומים ליעילים מאוד על ידי גישה למידע פרטי וניצול פגיעויות אישיות כמו משפחה או מערכות יחסים. זה מכניס עובדי לקוחות BioStar 2 שנפגעו תחת סכנה פוטנציאלית רבה.  

באמצעות טביעות אצבעות גנובות

השימוש באבטחה ביומטרית כמו טביעות אצבעות הוא פיתוח לאחרונה. ככזה, הסכנה הפוטנציאלית המלאה בגניבת טביעות האצבע שלך עדיין לא ידועה. 

עם זאת, הדבר החשוב לזכור הוא זה ברגע שהוא נגנב, שלא כמו סיסמאות, לא ניתן לשנות את טביעת האצבע שלך. 

זה הופך את הגניבה לנתוני טביעות אצבע ליותר עניינית. טביעות אצבע מחליפות סיסמאות מוקלדות על פריטי צריכה רבים, כמו טלפונים. רוב הסורקים של טביעות האצבע על מוצרי צריכה אינם מוצפנים, כך שכאשר האקר יפתח טכנולוגיה שישכפל את טביעת האצבע שלך, הם יעשו זאת קבל גישה לכל המידע הפרטי כגון הודעות, תמונות ואמצעי תשלום המאוחסנים במכשיר שלך. 

זה רק נושא פוטנציאלי אחד מרבים. 

עבור BioStar 2, אחד הנושאים הגדולים ביותר כרגע הוא מוניטין. אנו מודאגים מכך שחברת אבטחה לא הצליחה להגן באופן מלא על לקוחותיה.

בידי האקרים פליליים, ניתן היה להוריד את כל הנתונים הללו ולשמור אותם לשימוש מאוחר יותר במגוון פשעים. 

ייעוץ מהמומחים

ניתן היה להימנע בקלות מדליפה זו, האם יצרני BioStar 2 נקטו בכמה אמצעי אבטחה בסיסיים. בזמן המידע שמצאנו עדיין יכול היה להפוך אותו לידיהם של האקרים פליליים, אנו מציעים את הבאות ל- BioStar 2 ו- Suprema:

  1. אבטח את השרתים שלך באמצעות אמצעי הגנה טובים יותר.
  2. אל תשמור את טביעות האצבע של המשתמשים. שמור גרסת hash שלא ניתנת להנדסה הפוכה. 
  3. יישם כללי גישה נאותים על בסיסי הנתונים שלך.
  4. לעולם אל תשאיר מערכת שאינה דורשת אימות פתוחה לאינטרנט.

במקום לשמור חשיש של טביעת האצבע (שלא ניתן להנדסה הפוכה) הם שומרים את טביעת האצבע שבה ניתן להשתמש בהם כדי ליצור עותק למטרות זדוניות..

ייעוץ ללקוחות BioStar 2

אם העסק או הארגון שלך משתמשים ב- BioStar 2 ואתם מודאגים שהושפעתם מהפרת נתונים זו, אנו מציעים לכם צור קשר עם Suprema לפרטים נוספים. 

אנו מציעים שינוי הסיסמה בלוח המחוונים של BioStar 2 מייד והודיע ​​לצוות לשנות את הסיסמאות האישיות שלהם.

בנוסף, אנו ממליצים ליצור מדריך או לשתף כלים עם הצוות שלך כדי לעזור להם לייצר סיסמאות מאובטחות. ישנם שפע של מוני סיסמאות מקוונים הזמינים בכדי להבטיח שהם מוגנים טוב יותר.

לקבלת מדריך מעמיק כיצד להגן על העסק שלך באופן מקוון, בדוק כיצד לאבטח את אתר האינטרנט ואת מסד הנתונים המקוון שלך מפני האקרים.

ייעוץ למשתמשים 

אם המעסיק שלך, או עסק שאתה לקוח, משתמש ב- BioStar 2, ייתכן שהמידע האישי שלך, טביעות האצבע ונתוני זיהוי הפנים שלך הודלפו.

עליך להודיע ​​לעסק או למעסיק על חששותיך ולהבטיח שהוא מודע לדליפת הנתונים. 

אם אתה מודאג לגבי פגיעויות בנתונים באופן כללי, קרא את המדריך המלא שלנו לפרטיות מקוונת. זה מראה לך את הדרכים הרבות שבהן אתה יכול למקד על ידי פושעי רשת, ואת הצעדים שאתה יכול לנקוט כדי להישאר בטוחים. 

כיצד ומדוע גילינו את הפרצה

צוות המחקר של vpnMentor מצא את הפרצה באמצעות א פרויקט מיפוי אתרים ענק. בראשות נועם ורן, הצוות סורק נמלים ומחפש חסימות IP מוכרות. הם משתמשים בלוקים אלה כדי למצוא חורים במערכת האינטרנט של החברה. ברגע שנמצאים החורים האלה, הצוות מחפש פגיעויות שיובילו אותם להפרת נתונים.

הצוות גילה שחלקים עצומים מהמאגר של BioStar 2 אינם מוגנים ובעיקר לא מוצפנים. החברה משתמשת בבסיס נתונים של Elasticsearch, שבדרך כלל אינו מיועד לשימוש בכתובות אתרים. עם זאת, הצלחנו לגשת אליו באמצעות הדפדפן ולתפעל את הקריטריונים לחיפוש כתובות אתרים לחשיפת כמויות אדירות של נתונים. 

בעזרת המומחיות שלהם, הם גם עושים זאת בחן את בסיס הנתונים כדי לאשר את זהותו.

כהאקרים אתיים, אנו מחויבים לפנות לאתרי אינטרנט כאשר אנו מגלים פגמי אבטחה. זה נכון במיוחד כאשר הפרת הנתונים של חברה משפיעה על כל כך הרבה אנשים ומכילה נתונים רגישים כל כך.

עם זאת, גם אתיקה זו מתכוונת אנו נושאים באחריות לציבור. על לקוחות BioStar 2 ועובדיהם להיות מודעים לסיכונים שהם לוקחים בעת השימוש בטכנולוגיה שעושה כל כך מעט מאמץ להגן על המשתמשים שלהם.

עלינו ודוחות קודמים

vpnMentor הוא האתר הגדול בעולם לביקורת VPN. מעבדת המחקר שלנו היא שירות פרו-בונו השואף לעזור לקהילה המקוונת להתגונן מפני איומי סייבר תוך חינוך לארגונים להגן על נתוני המשתמשים שלהם..

לאחרונה גילינו פרצת נתונים ענקית שהשפיעה על 80 מיליון משקי בית בארה"ב. עוד חשפנו כי Gearbest חווה הפרה מאסיבית של נתונים. יתכן שתרצה לקרוא את דוח דליפת VPN ודוחות סטטיסטיקת פרטיות של נתונים.

אנא שתף את הדו"ח הזה בפייסבוק או ציוץ זה.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me