Jopa miljoona sormenjälkeä vuoti – turvallisuusyhtiöllä oli löperöt tietoturvaperiaatteet

Kirjoittaja Manu Pitkänen @ 14.8.2019 18:20 Kommentteja (3)

Jopa miljoona sormenjälkeä vuoti – turvallisuusyhtiöllä oli löperöt tietoturvaperiaatteet Jopa miljoonan henkilön sormenjälki- ja kasvojentunnistustiedot, käyttäjänimet ja salasanat ovat paljastuneet laajassa tietovuodossa.
VPN-verkkoja skannaavaa VPNMentor-palvelua kehittävät tutkijat Noam Rotem ja Ran Locar havaitsivat viime viikolla, että turvallisuuspalveluita tarjoavan Supreman
Biostar 2 -palvelin oli julkisesti saatavilla. Palvelimen tarkoituksena on tarjota Supreman biotunnistuspalveluiden käyttäjille keskitetty paikka oikeuksienhallintaan. Supreman palveluita käytetään tilojen kulunvalvonnassa.

Tutkijt onnistuivat lataamaan palvelimelta 23 gigatavun edestä dataa, mihin sisältyi muun muassa sormenjälkitiedot, salasanat ja käyttäjätiedot. Vieläkin huolestuttavampaa oli tutkijoiden havainto, että palvelimelle päässyt hyökkääjä voisi vapaasti lisätä uusia henkilöitä palvelimelle, jolloin kuka tahansa saisi huomaamattomasti pääsyoikeuden suojattuihin rakennuksiin.



Supreman palveluita käyttävät esimerkiksi Suur-Lontoon poliisi, pankit sekä puolustusalan yritykset. Kaikkiaan palveluita käytetään yli 1,5 miljoonassa kohteessa ympäri maailman.

Ongelmallista on sekin, että palvelimelle oli tallennettu ihmisten sormenjälkiä suoraan, eikä niistä oltu tehty tiivisteitä. Sormenjälkeä ei pystytä muuttamaan yhtä helposti kuin salasanaa, joten vuodon aiheuttamaan vahinkoa on mahdoton korjata.

Edellinen Seuraava  

3 kommenttia

115.8.2019 06:10

No hupsista. Itse en periaatteestakaan suostu käyttämään biometrisiä tunnisteita missään juuri tuosta ongelmasta johtuen, eli sormenjäljen tiedot kun vuotaa maailmalle, niin sen jälkeen sormenjäljen joutuu kuitenkin poistamaan tunnistautumiskäytöstä.

215.8.2019 17:58

Aika siistii jos tiedetään, että täytyy olla palvelimelle rekisteröity laite käytössä, ennen kuin moisia tietoja voi todentaa.


For every spam post I have a this reply:
A great weather out there!
"A great weather out there!"

PORT STATE SERVICE
443/tcp filtered https:

Host wake up (0.000s latency).
rDNS

Administration interface:
Normal:http://192.168.75.120:8080
Normal:http://10.8.0.1:8080
Secure:https://192.168.75.120
Secure:https://10.8.0.1

319.8.2019 12:39
spam
Vahvistamaton

Lainaus:
Ongelmallista on sekin, että palvelimelle oli tallennettu ihmisten sormenjälkiä suoraan, eikä niistä oltu tehty tiivisteitä. Sormenjälkeä ei pystytä muuttamaan yhtä helposti kuin salasanaa, joten vuodon aiheuttamaan vahinkoa on mahdoton korjata.

Siis ihmisten selkokieliset sormenjäljet vuotaneet ? Eihän tuossa ongelma ole se ettei "salasanaa" voi muuttaa, vaan se että nyt tarjolla ollut sormenjäljet ja niiden haltijoiden tiedot, se jäi epäselväksi kuinka yksitiskohtaisia tietoja haltijoista, oliko lisäksi se mihin heillä pääsy, asema jne. Mutta joka tapauksessa jos joku muukin datan käynyt hakeen niin sillä ihan mielenkiintoinen sormenjälki rekisteri. V

Se missä sormenjälkeä käytetään pääsyn tunnistamiseen toivottavasti varmistaa muilla konsteilla että aito sormenjälki.

Oliko tuolla kuinka kattavasti käyttäjien sormenjäljet, pari per henkilö, vai kaikista sormista ?

Lainaus, alkuperäisen viestin kirjoitti teme565:
No hupsista. Itse en periaatteestakaan suostu käyttämään biometrisiä tunnisteita missään juuri tuosta ongelmasta johtuen, eli sormenjäljen tiedot kun vuotaa maailmalle, niin sen jälkeen sormenjäljen joutuu kuitenkin poistamaan tunnistautumiskäytöstä.
Sormenjälki ei kyllä ole niin salainen että se tarjoaisi suojaa pelkällä sen jäljen tietämisellä, Jos tunnistus perustuu pelkästään siihen että psytyy jäljen näyttöön niin silloin suoja murtuu pelkästään sillä kun saa kohteen sormenjäljen, harva meistä kuitenkaan pitää hanskoja liki 24/7, ja pyyhkii käytön jälkeen pinnat.

Jos epäilee jonkin laitteen vuotavan selkokielisen sormanjäljen vastoin lupailuja, niin se voi pahantahtoisena sen tehdä, vaikka ns ominaisuutta ei käyttäisi pääsyn valvontaa , vertaa puhelimet missä lukija järjestäin on normaalilla käyttöalueella.

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

HBO: Hinta nousee Suomessa marraskuussa HBO: Hinta nousee Suomessa marraskuussa (22.10.2019 12:44)
HBO Nordic on ilmoittanut tänään nostavansa hintoja Suomessa. Vanhoille tilaajille hinnankorotukset astuvat voimaan seuraavassa kuukausilaskussa. Perustilauksen hinta nousee aiemmasta 9,95 ....
TSMC yllättyi – Korottaa investointejaan 5 nanometrin tuotannon lisäämiseksi TSMC yllättyi – Korottaa investointejaan 5 nanometrin tuotannon lisäämiseksi (22.10.2019 06:21)
Puolijohdevalmistaja TSMC aikoo yllättäen lisätä investointejaan vielä tälle vuodelle. Aiemmin ilmoitetun 11 miljardin dollarin investointikulujen sijaan yhtiö on korottanut koko vuoden investoinnit ....
Photoshopin lisäksi myös Illustrator on tulossa iPadille Photoshopin lisäksi myös Illustrator on tulossa iPadille (22.10.2019 06:04)
Piirto-ohjelmien suvereeni markkinajohtaja Adobe lupasi jo vuosi sitten, että se julkaisee "oikean" Photoshop-kuvankäsittelyohjelman iPadille tämän vuoden aikana. Täysiveristä Photaria ei ole ....
Jaatko Netflixin muiden kanssa? Ei hätää, vaikka yhtiö etsii ratkaisuja pulmaan Jaatko Netflixin muiden kanssa? Ei hätää, vaikka yhtiö etsii ratkaisuja pulmaan (21.10.2019 21:04)
Yhtä kauan kuin Netflix on ollut merkittävä suoratoistopalvelu, ovat käyttäjät jakaneet palvelun kirjautumistietoja perheen tai kaveripiirin välillä. Netflixiä asia ei ole liiemmin kiristänyt, ....
1 kommentti
Vuotaneet kuvat vahvistavat PlayStation 5:n prototyypin ulkonäön Vuotaneet kuvat vahvistavat PlayStation 5:n prototyypin ulkonäön (21.10.2019 20:30)
Sonyn viidennen sukupolven pelikonsoli on tulossa markkinoille ensi vuonna. Tässä vaiheessa laitteesta tiedetään tietysti vielä kovin vähän, sillä julkaisuun on todennäköisesti vielä noin vuosi aikaa. ....

Uutisarkisto