Gegevens van toegangssysteem van Suprema lagen op straat

Toegangsbeveiliger SupremaHet blijkt dat grote een databank met vingerafdrukken van eenmiljoen mensen, gezichtsherkenningsinformatie vrij toegankelijk is geweest evenals onversleutelde wachtwoorden en gebruikersnamen van de werknemers van het betrokken bedrijf (Suprema). Dat beveiligingssysteem, Biostar 2, wordt onder meer voor de toegangscontrole van overheidsgebouwen en banken gebruikt in vele landen over de hele wereld.

Suprema is een beveiligingsbedrijf dat, onder meer, zorg draagt voor de beveiligde toegang tot kantoorgebouwen en opslagruimtes. Daarbij worden vingerafdrukken en gezichtskenmerken van personen opgeslagen. Vorig maand verkondigde Suprema dat Biostar 2 werd geïntegreerd met een ander beveiligd toegangssysteem: AEOS. Dat wordt gebruikt door 5700 organisaties in 83 landen verschillende, ook door de Londense politie, banken en overheidsinstellingen.
Twee Israëlische veiligheidsonderzoekers, Noam Rotem en Ron Locar, van vpnmentor waren bij virtuele private netwerkdiensten op zoek naar lekken. Tijdens die zoektocht vorige week vonden ze de databank van Biostar 2 volkomen onbeschermd en grotendeels onversleuteld (dus normaal leesbaar). Ze bleken die databank ook te kunnen doorzoeken door de zoekcriteria in Elasticsearch te manipuleren.

Rotem en Locar kregen zo toegang tot 27,8 miljoen dossiers (23 GB) met gegevens over vingerafdrukken, gezichtsinformatie, wachtwoorden en gebruikersnamen (ook van beheerders), veiligheidsniveaus enz. Rotem: “We konden zelfs de gegevens veranderen en nieuwe gebruikers toevoegen. Het tweetal kreeg ook informatie over meewerkende organisaties in de VS, India e.d.

Schokkend

Het tweetal vindt de ontdekking nogal schokkend aangezien het over de beveiliging gaat van zo’n 1,5 miljoen locaties over de hele wereld. Ook vonden ze het bijzonder kwalijk dat de de opgeslagen gegevens vrijwel niet waren versleuteld. De onderzoekers hebben voor ze hun verslag publiceerden verscheidene malen geprobeerd met Suprema in contact te komen. Woensdagmorgenvroeg (Australische tijd, het zal dus wel een van oorsprong Australisch bedrijf zijn; as) werd het lek gedicht.
Suprema zou nagaan wat er verkeerd is gegaan en of de klanten gevaar lopen. Als dat zo is zullen er onmiddellijk maatregelen worden genomen, klonk het wat dommig. Volgens Rotem is het geval van Suprema niet enig. “Het is heel gewoon. Er zijn letterlijk miljoenen open systemen en die allemaal doorspitten is een taaie klus. Sommige van die systemen zijn gevoelig.”

Hij zegt wekelijk drie of vier bedrijven op soortgelijke zaken aan te spreken. “Fouten gebeuren, maar het gaat er om hoe je die aanpakt. Als je een veiligheidsgroep hebt die snel reageert dan is dat goed genoeg. Als je een veiligheidsgroep hebt die juristen sturen om je te bedreigen dan is dat minder efficiënt. Dat gebeurt vrij vaak. Het is lastig om fouten toe te geven. Sommigen gebruiken die gelegenheid om die te repareren en anderen voelen zich er om de een of andere reden door beledigd.”

Bron: the Guardian

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.