Szintet lépett a kiberbűnözők jelentette fenyegetés
Kiderült, hogy már a biometrikus azonosítók sincsenek biztonságban, a múlt héten ugyanis egy több mint egymillió ujjlenyomatot és egyéb érzékeny adatokat érintő adatszivárgásról érkezett hír. A VPNMentor kiberbiztonsági cég szakemberei arról számoltak be, hogy a világhálón keresztül hozzáfértek a Biostar 2 biztonsági szoftverrel kezelt adatokhoz. A megoldást világszerte sok ezer vállalat és szervezet használja, a BBC beszámolója szerint többek között ezzel kezeli a védett létesítmények egyes részeire történő belépéshez szükséges ujjlenyomatokat a rendőrség az Egyesült Királyságban. Az adatszivárgás következtében 23 gigabyte-nyi adat, összesen mintegy harmincmillió tétel vált elérhetővé. A Biostar 2-t fejlesztő Suprema nevű cég jelezte, hogy kezelik a helyzetet. A VPNMentor közlése szerint augusztus 5-én fedezték fel, hogy a világhálón elérhetők az érzékeny információk, azonban augusztus 13-án már változott a helyzet, és nem lehetett hozzájuk férni.
Az ujjlenyomatokra vonatkozó adatok mellett emberekről készült fotókat, az arcfelismeréshez szükséges információkat, neveket, címeket, jelszavakat, sőt még arra vonatkozó tételeket is tartalmazott a világhálón rövid ideig elérhető adatbázis, hogy egyes személyek mikor léptek be a különleges védelemmel ellátott területekre.
„Két kulcsfontosságú dologról kell szót ejtenünk az esettel kapcsolatban. Egyrészt egyértelmű, hogy a biometrikus adatok ellopása lehetővé teszi az emberek személyazonosító adataival való visszaélést. Másrészt ezekben az esetekben a jelszó megváltoztatására vonatkozó tanácsnak semmi értelme, hiszen a biometrikus adatait nem cserélheti le az adott személy. Ezért tartjuk továbbra is rossz ötletnek, hogy jelszavak helyett biometrikus adatokat használjanak. Kisebb problémát okozna, ha a felhasználónevek helyett használnának biometrikus adatokat. Harmadrészt nem titkosították a jelszavakat – egyszerű szövegként tárolták őket. Ha egy jelszó rossz kezekbe kerül, meg lehet változtatni. Ha valakinek az ujjlenyomata kerül ki az internetre, nem cserélhető le, és mindig ismert marad” – mutatott rá David Emm, a Kaspersky biztonsági kutatója. Az eset kapcsán a VPNMentor szakértői arra is felhívták a figyelmet, hogy a megszerzett információk a bűncselekmények széles skálájánál felhasználhatók, és az érintett vállalatok és szervezetek, valamint azok dolgozói és ügyfelei számára is katasztrofális hatásuk lehet.
Az incidens egyik érdekes tanulsága az is, hogyan kezelik a problémákról szóló bejelentéseket. Az adatszivárgást észlelő társaság képviselői ugyanis arról számoltak be, hogy jókora nehézséget okozott számukra az illetékesek elérése a Supremánál, többször azzal szembesültek, hogy félretették a telefont.
