Медия без
политическа реклама

Биометрични данни на над 1 млн. души са незащитени онлайн

Фейсбук записвал аудиоразговорите на потребителите в приложението месинджър

15 Авг. 2019
Пръстови отпечатъци, данни от разпознаване на лица, некриптирани потребителски имена и пароли, както и лични данни на служители, са складирани в публично достъпна база данни на компания за сигурност.
Pixabay
Пръстови отпечатъци, данни от разпознаване на лица, некриптирани потребителски имена и пароли, както и лични данни на служители, са складирани в публично достъпна база данни на компания за сигурност.

Пръстови отпечатъци на над 1 милион души, както и данни от разпознаване на лица, некриптирани потребителски имена и пароли, както и лични данни на служители, бяха открити в публично достъпна база данни на компания, използвана от лондонската полиция, компании, работещи в сектора на отбраната, и банки, писа в. "Гардиън". Фирмата, работеща в сферата на сигурността - Suprema, носи отговорност за уеб базираната биометрична система Biostar 2, която позволява централизиран контрол за достъпа до защитени съоръжения като складове и офис сгради. Системата използва пръстови отпечатъци и лицево разпознаване като част от начините за идентифициране на хората, опитващи се да получат достъп до зданията. През юли т.г. Suprema обяви, че платформата Biostar 2 е интегрирана в друга система за контрол на достъпа -  AEOS, която се използва от 5700 организации в 83 държави по света, като сред тях има правителства, банки и лондонската полиция. 

Израелските експерти по сигурността Ноам Ротем и Ран Локар, които работят с vpnmentor - услуга, която прави преглед на виртуалната частна мрежа, реализират проект за сканиране на портове, които търсят познати IP блокове и след това ги използват, за да намерят пробиви в системите на компаниите, потенциално опасни за пробив на базите данни. При проверка, направена миналата седмица, те установяват, че базата данни на Biostar 2 не е защитена и в голямата си част не е криптирана. Те успяват да осъществят търсене в масивите чрез манипулиране на URL критерии за търсене в Elasticsearch, за да получат достъп до информацията. 

Учените получават достъп до над 27.8 млн. записа и 23 гигабайта данни като административни панели, табла за управление, данни за пръстови отпечатъци, лицево разпознаване, снимки на лица на потребители, некодирани  потребителски имена и пароли, данни за достъп до съоръжения, нива на сигурност, както и лични данни за персонала. Повечето от потребителските имена и паролите не са криптирани, казва Ротем пред в. "Гардиън". "Можехме да намерим паролите на администраторите на акаунтите", казва той. Двамата получават възможност да видят данните на милиони потребители, които използват системата за достъп до различни места, и в реално време да засекат кой потребител в кое точно съоръжение влиза и дори в коя стая се намира. „Можехме дори да променим данните и да добавим нови потребители“, обяснява още Ротем.

В доклада за разкритията, предоставени на в. "Гардиън", се казва, че учените са получили достъп до данни на съвместно работещи организации в САЩ и Индонезия, до верига за фитнес центрове в Индия и Пакистан, доставчик на лекарства в Обединеното кралство и др. Шефът на маркетинг отдела в Suprema Анди Ан заяви пред "Гардиън", че фирмата е предприела "задълбочена оценка" на предоставената информация от vpnmentor и ще информира потребителите, ако има заплаха. 

Междувременно беше разкрито, че социалната мрежа фейсбук е записвала разговори на свои потребители, използвали приложението месинджър и не са забранили транскрипцията на разговорите в него. Това става ясно от доклад, публикуван в американските медии. След като разговорите били записани, от фейсбук ги давали на други фирми, за да ги свалят. Социалната мрежа потвърди информацията,  както и поясни, че тази практика е прекратена.

КАРЕ - ПРОВАЛ

Система за лицево разпознаване, която трябва да подпомага работата на полицията в Калифорния, работи много зле, разкри в. "Лос Анджелис таймс". Според изданието при направен тест всеки пети щатски народен представител е бил взет за престъпник. Несъвършенствата на системата били показани от Американския съюз за граждански свободи, който демонстрирал на депутатите в местния парламент защо не трябва да въвеждат изкуствения интелект.

Последвайте ни и в google news бутон