Több mint egymillió felhasználó biometrikus és egyéb érzékeny adataihoz lehetett hozzáférni az interneten, jelentették a VPNMentor kiberbiztonsági cég kutatói. Az adatok a Biostar 2 biztonságtechnikai szoftver hibájából szivároghattak ki. A Biostar 2-t világszerte cégek, intézmények, hatósági szervek ezrei használják, mint például a brit rendőrség, ahol a szoftver működteti például az ujjlenyomat-olvasós zárakat egyes magas biztonsági protokollal védett létesítményekben.
A VPNMentor augusztus 5-én fedezte fel a védtelen, 23 gigabájtnyi, közel 30 millió adatsort tartalmazó adatbázist. A biztonsági hibát felfedező szakértők azonnal értesítették a Biostar 2-t és a hozzá tartozó ujjlenyomat-olvasókat fejlesztő céget, de a Suprema csak augusztus 13-án tette elérhetetlenné az érzékeny adatokat. Azt, hogy mennyi ideig voltak bárki számára elérhetők a felhasználók adatai, nem tudni. A Suprema annyit közölt a The Guardian kérdésére, hogy vizsgálják az esetet, és gyorsan megteszik a szükséges lépéseket, amennyiben kiderül, hogy veszélybe kerültek ügyfeleik adatai.
A Suprema szerverén titkosítás nélkül hozzáférhető fájlok közt
ujjlenyomatok, fotók, arcfelismerési adatok, kódolatlan szövegben tárolt nevek, címek, felhasználónevek, jelszavak, alkalmazotti adatok és biztonsági elérési adatok, naplófájlok
is szerepeltek. És ami még rosszabb, az adatokat tetszés szerint felül lehetett írni, hozzáadni, törölni, így akár fizikai hozzáférést lehett nyerni a Suprema zárral védett tetszőleges biztonsági komplexumokhoz.
A VPNMentor izraeli kutatói biztonsági okokból nem töltötték le az egész hozzáférhető adatbázist, nehogy illetéktelen kezekbe kerüljön, így nincsenek pontos adatok arra, hogy hány cég, hány felhasználó adatai voltak hosszúi ideig védtelenek. A brit rendőrség egyelőre vizsgálja, hogy érintettek-e az adatszivárgásban. A VPNMentor 15 példát hozott nyilvánosságra: például az Indiában és Sri Lankán működő Power World Gym edzőtermek 113 796, a Global Village arab fesztivál 15 000 és az Adecco Staffung belgiumi munkaerőközvetítő cég 2000 felhasználójának adatai, ujjlenyomatai voltak elérhetőek.
A most nyilvánosságra került adatbiztonsági fiaskó új szintet jelent az eddigi adatszivárgásokhoz képest. Mostanáig az volt a jellemző, hogy felhasználónév és jelszó párosítások kerültek ki a netre, ami ellen jelszócserével, megfontolt internethasználattal lehetett védekezni. Az viszont, hogy milliónyi személyes adat és a hozzájuk tartozó biometrikus adatok kerültek/kerülhettek a netre minden eddiginél aggasztóbb fordulat. Egy ujjlenyomat és név kombináció ugyanis fixen azonosíthatóvá tesz bárkit, és ha egyszer illetéktelenek kezébe került, akkor szinte lehetetlen védekezni a potenciális visszaélések ellen.
(Borítókép: egy Suprema kültéri ujjlenyomatolvasó)