אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
מאגר של מיליון טביעות אצבע נחשף לגניבה מקוונת צילום: שרארסטוק

מאגר של מיליון טביעות אצבע נחשף לגניבה מקוונת

פרצה במערכת Biostar 2, שמאחסנת נתונים ביומטריים וסיסמאות עבור ארגונים בכל העולם, חשפה מידע בהיקף עצום לגורמים לא מורשים; חוקרים ישראלים הם שזיהו את הליקוי, והופתעו מרמת האבטחה הנמוכה במאגר

14.08.2019, 10:18 | עומר כביר
פרצת אבטחה משמעותית במערכות המחשוב של פלטפורמת בקרת הגישה הביומטרית Biostar 2 של חברת Suprema הקוריאנית חשפה מיליון טביעות אצבע, תמונות פנים ביומטריות ופרטי גישה לאזורים מאובטחים בארגונים - כך חשפו חוקרי האבטחה של vpnMentor, אתר ביקורות VPN בינלאומי שממוקם בישראל. את זיהוי וחקירת הפרצה הובילו ההאקרים הישראלים נעם רותם ורן לוקאר.

קראו עוד בכלכליסט

"מדובר בפרצה פשוטה מאוד שמובילה לפרצות נוספות שמאפשרות השתלטות מלאה על חשבונות במערכת", אמר רותם לכלכליסט. "מכיוון שמדובר במערכת אבטחה פיזית, היא שומרת טביעות אצבעות, צילומי פנים, ומידע ביומטרי שברגע שהוא דלף - אי אפשר להחזיר את הגלגל לאחור. כל אותם משתמשים לא יוכלו יותר לשמור על המידע שלהם לעצמם. טביעות אבצע אי אפשר לשנות, וארגון ששומר אותם ולא טורח אפילו להצפין אותן אחראי לנזק עצום שעשוי היה להיגרם למיליוני בני אדם. השתלטות על חשבון במערכת הזו מאפשרת שינוי של טביעות אצבעות למשתמש מסוים, כך שפורץ יוכל להיכנס בשם המשתמש הזה לאזורים מוגבלים במתקן בה מותקנת מערכת האבטחה".

סריקת טביעת אצבע, צילום: גטי אימג סריקת טביעת אצבע | צילום: גטי אימג'ס סריקת טביעת אצבע, צילום: גטי אימג

Biostar 2 היא פלטפורמת מנעולים חכמים מבוססת אבטחה ביומטרית, שנועדה לאפשר לארגונים לבצע בקרת גישה בכניסה למתקנים או בתוך המתקנים עצמם. האפליקציה המקוונת של הפלטפורמה מאפשרת לבעלי הרשאות לשלוט בגישה למתקני החברה או לאזורים מאובטחים בהם, לנהל את הרשאות הגישה של עובדים, לנטר את הפעילות ולבצע אינטגרציה עם אפליקציות צד ג'. בין השאר עושה המערכת שימוש בתמונות פנים וטביעות אצבע כדי לזהות משתמשים. המערכת מפותחת על ידי Suprema, לטענתה אחת מ-50 חברות האבטחה הגדולות בעולם, ובעלת נתח השוק הגבוה ביותר באבטחה ביומטרית באזור אירופה, המזרח התיכון ואפריקה. החוקרים לא זיהו פעילות של המערכת בישראל.

לדברי החוקרים, בפרצה נחשפו 27.8 מיליון רשומות ומידע בהיקף של 23 גיגה-בייט, כולל פרטי גישה ללוחות בקרה של לקוחות, מידע ביומטרי כמו טביעות אצבע ותמונות פנים, שמות משתמש וסיסמאות, תיעוד של כניסות ויציאות מאזורים מאובטחים, פרטי עובדים כולל פרטים אישיים, תאריך תחילת עבודה ורמת סיווג האבטחה הארגוני שלהם, ומפות היררכיה ארגוניות.

"פוטנציאל ענקי לפעילות פלילית ולהונאה"

"המידע שנחשף בפרצה רגיש ביותר", כתבו החוקרים במסמך שמסכם את הממצאים. "הוא כולל מידע אישי מפורט של עובדים, ושמות משתמש וסיסמאות לא מוצפנות שמספקים להאקרים גישה לחשבונות והרשאות גישה במתקנים שעובדים עם Biostar 2. שחקנים רעים יכולים להשתמש בפרצה הזו כדי לפרוץ למתקנים מאובטחים ולתמרן את פרוטוקולי האבטחה שלהם לטובת פעילות פלילית. מדובר בדליפה ענקית שמסכנת ארגונים ועובדיהם. הצוות שלנו קיבל גישה ליותר ממיליון טביעות אצבע, וכן מידע על תמונות פנים. ביחד עם פרטים אישיים, שמות משתמש וסיסמאות יש פוטנציאל ענקי לפעילות פלילית ולהונאה".

גישה בעייתית למידע רגיש. אילוסטרציה, צילום: Shutterstock גישה בעייתית למידע רגיש. אילוסטרציה | צילום: Shutterstock גישה בעייתית למידע רגיש. אילוסטרציה, צילום: Shutterstock

החוקרים הופתעו בפרט מהאבטחה הנמוכה של סיסמאות שבחרו משתמשים: "חשבונות רבים כללו סיסמאות פשוטות עד כדי גיחוך, כמו 'Password' ו-'abcd1234'. קשה לדמיין שאנשים עדיין לא מבינים עד כמה זה מקל על תוקף לחדור לחשבון שלהם. כמובן שמשתמשים רבים יצרו סיסמאות מורכבות ויעילות יותר. ואולם, הצלחנו בקלות לזהות גם אותן כי הוא אוחסנו בקובץ לא מוצפן".

עוד ציינו החוקרים שההשפעה הגדולה ביותר של הפרצה נעוצה בהיקפה. "משתמשי Biostar 2 פזורים בכל העולם", כתבו. "לפלטפורמה יש יותר מ-1.5 מיליון התקנות בכל העולם, וכולן יכולות להיות פגיעות לדליפה. סך האנשים שנפגעו יכול להגיע לעשרות מיליונים".

רותם הוסיף: "העובדה שגם הסיסמאות נשמרו בצורה לא מוצפנת, גם המידע הביומטרי היה נגיש ולא מאובטח, וגם היעדר כל מנגנוני בקרה ודיווח בחברה, מעלה שאלות קשות לגבי למי אנחנו נותנים את המידע הביומטרי שלנו. לעובד באחת מאלפי הארגונים שהם לקוחות החברה הזו אין ברירה אלא לתת את המידע הביומטרי שלו אחרת לא יוכל לעבוד במתקן המאובטח. באותה העת המעסיק שלו מעביר את המידע הזה לצד שלישי שאין לו יכולת להגן עליו. זו בעיה חמורה מאוד".

מ-Suprema נמסר בתגובה לגארדיאן שהחברה מבצעת בדיקת עומק של המידע שסיפקו החוקרים ושבכוונתה ליידע לקוחות שנמצאים בסיכון. "אם יש איום ודאי על המוצר או השירותים שלנו, ננקוט בפעולה מיידית ונפרסם את ההודעות המתאימות כדי להגן על לקוחות ועל הנכסים שלהם", מסרה.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות



59 תגובות לכתיבת תגובה לכתיבת תגובה

59.
ביומטרי אסון
אין צורך לדאוג כי המאגר כבר ייפרץ אז זה עיניין של זמן עד שיבינו איזו טעות נוראית זו שכולם יהיו חשופים כאן והנתונים דולפים לכל דורש אין ביטחון כל מאגר וכל אבטחה סופה להפרץ בישראל כולם חכמים לכן לא חושבים צעד אחד קדמיה עם של מטומטמים לא חושבים על כלום סומכים על המזל זה בטוח לא יעזור לאף אחד כי הכול כבר פרוץ
רק בישראל חכמי חלם  |  15.08.19
57.
מאגרי המידע מסוג זה יהפכו במהרה לחסרי ערך. וטוב שכך
איזה ערך יש למאגרי המידע האלה אם הם הופצו בשבעה עותקים לאינספור גורמים? אם זה לא קרה עדיין זה יקרה. ובמובן מסויים זה מקור לשמחה. ככה יפסיק להשתמש במידע הכי פרטי עלינו (הגוף שלנו, טביעות אצבעות, צילומי פנים, רשתית העין וכו, כאילו היינו מכונות בעלות מספר סידורי.
כל הכבוד להאקרים המשיכו כך  |  15.08.19
לכל התגובות