Биометрични данни на над 1 млн. души са незащитени онлайн
Пръстови отпечатъци на над 1 милион души, както и данни от различаване на лица, некриптирани потребителски имена и пароли, както и лични данни на чиновници, бяха открити в обществено налична база данни на компания, употребена от лондонската полиция, компании, работещи в сектора на защитата, и банки, писа в. " Гардиън ". Фирмата, работеща в областта на сигурността - Suprema, носи отговорност за уеб основаната биометрична система Biostar 2, която разрешава централизиран надзор за достъпа до предпазени уреди като хранилища и офис здания. Системата употребява пръстови отпечатъци и лицево различаване като част от методите за идентифициране на хората, опитващи се да получат достъп до зданията. През юли т.г. Suprema разгласи, че платформата Biostar 2 е интегрирана в друга система за надзор на достъпа - AEOS, която се употребява от 5700 организации в 83 страни по света, като измежду тях има правителства, банки и лондонската полиция.
Израелските специалисти по сигурността Ноам Ротем и Ран Локар, които работят с vpnmentor - услуга, която прави обзор на виртуалната частна мрежа, реализират проект за сканиране на портове, които търсят познати IP блокове и по-късно ги употребяват, с цел да намерят пробиви в системите на фирмите, евентуално рискови за пробив на базите данни. При инспекция, направена предходната седмица, те откриват, че базата данни на Biostar 2 не е предпазена и в огромната си част не е криптирана. Те успяват да осъществят търсене в масивите посредством манипулиране на URL критерии за търсене в Elasticsearch, с цел да получат достъп до информацията.
Учените получават достъп до над 27.8 млн. записа и 23 гигабайта данни като административни панели, табла за ръководство, данни за пръстови отпечатъци, лицево различаване, фотоси на лица на консуматори, некодирани потребителски имена и пароли, данни за достъп до уреди, равнища на сигурност, както и персонални данни за личния състав. Повечето от потребителските имена и паролите не са криптирани, споделя Ротем пред в. " Гардиън ". " Можехме да намерим паролите на админите на сметките ", споделя той. Двамата получават възможност да видят данните на милиони консуматори, които употребяват системата за достъп до разнообразни места, и в действително време да засекат кой консуматор в кое тъкмо оборудване влиза и даже в коя стая се намира. „ Можехме даже да променим данните и да прибавим нови консуматори “, изяснява още Ротем.
В отчета за разкритията, предоставени на в. " Гардиън ", се споделя, че учените са получили достъп до данни на съвместно работещи организации в Съединени американски щати и Индонезия, до верига за фитнес центрове в Индия и Пакистан, снабдител на медикаменти в Обединеното кралство и др. Шефът на маркетинг отдела в Suprema Анди Ан съобщи пред " Гардиън ", че компанията е подхванала " задълбочена оценка " на предоставената информация от vpnmentor и ще осведоми потребителите, в случай че има опасност.
Междувременно беше разкрито, че обществената мрежа фейсбук е записвала диалози на свои консуматори, използвали приложението месинджър и не са забранили транскрипцията на диалозите в него. Това излиза наяве от отчет, оповестен в американските медии. След като диалозите били записани, от фейсбук ги давали на други компании, с цел да ги смъкват. Социалната мрежа потвърди информацията, както и разясни, че тази процедура е прекъсната.
КАРЕ - ПРОВАЛ
Система за лицево различаване, която трябва да подкрепя работата на полицията в Калифорния, работи доста зле, разкри в. " Лос Анджелис таймс ". Според изданието при изработен тест всеки пети щатски депутат е бил взет за нарушител. Несъвършенствата на системата били показани от Американския съюз за цивилен свободи, който показал на депутатите в локалния парламент за какво не би трябвало да вкарват изкуствения разсъдък.
Израелските специалисти по сигурността Ноам Ротем и Ран Локар, които работят с vpnmentor - услуга, която прави обзор на виртуалната частна мрежа, реализират проект за сканиране на портове, които търсят познати IP блокове и по-късно ги употребяват, с цел да намерят пробиви в системите на фирмите, евентуално рискови за пробив на базите данни. При инспекция, направена предходната седмица, те откриват, че базата данни на Biostar 2 не е предпазена и в огромната си част не е криптирана. Те успяват да осъществят търсене в масивите посредством манипулиране на URL критерии за търсене в Elasticsearch, с цел да получат достъп до информацията.
Учените получават достъп до над 27.8 млн. записа и 23 гигабайта данни като административни панели, табла за ръководство, данни за пръстови отпечатъци, лицево различаване, фотоси на лица на консуматори, некодирани потребителски имена и пароли, данни за достъп до уреди, равнища на сигурност, както и персонални данни за личния състав. Повечето от потребителските имена и паролите не са криптирани, споделя Ротем пред в. " Гардиън ". " Можехме да намерим паролите на админите на сметките ", споделя той. Двамата получават възможност да видят данните на милиони консуматори, които употребяват системата за достъп до разнообразни места, и в действително време да засекат кой консуматор в кое тъкмо оборудване влиза и даже в коя стая се намира. „ Можехме даже да променим данните и да прибавим нови консуматори “, изяснява още Ротем.
В отчета за разкритията, предоставени на в. " Гардиън ", се споделя, че учените са получили достъп до данни на съвместно работещи организации в Съединени американски щати и Индонезия, до верига за фитнес центрове в Индия и Пакистан, снабдител на медикаменти в Обединеното кралство и др. Шефът на маркетинг отдела в Suprema Анди Ан съобщи пред " Гардиън ", че компанията е подхванала " задълбочена оценка " на предоставената информация от vpnmentor и ще осведоми потребителите, в случай че има опасност.
Междувременно беше разкрито, че обществената мрежа фейсбук е записвала диалози на свои консуматори, използвали приложението месинджър и не са забранили транскрипцията на диалозите в него. Това излиза наяве от отчет, оповестен в американските медии. След като диалозите били записани, от фейсбук ги давали на други компании, с цел да ги смъкват. Социалната мрежа потвърди информацията, както и разясни, че тази процедура е прекъсната.
КАРЕ - ПРОВАЛ
Система за лицево различаване, която трябва да подкрепя работата на полицията в Калифорния, работи доста зле, разкри в. " Лос Анджелис таймс ". Според изданието при изработен тест всеки пети щатски депутат е бил взет за нарушител. Несъвършенствата на системата били показани от Американския съюз за цивилен свободи, който показал на депутатите в локалния парламент за какво не би трябвало да вкарват изкуствения разсъдък.
Източник: segabg.com
КОМЕНТАРИ