מאגר של מיליון טביעות אצבע נחשף לגניבה מקוונת

פרצת אבטחה משמעותית במערכות המחשוב של פלטפורמת בקרת הגישה הביומטרית Biostar 2 של חברת Suprema הקוריאנית חשפה מיליון טביעות אצבע, תמונות פנים ביומטריות ופרטי גישה לאזורים מאובטחים בארגונים - כך חשפו חוקרי האבטחה של vpnMentor, אתר ביקורות VPN בינלאומי שממוקם בישראל. את זיהוי וחקירת הפרצה הובילו ההאקרים הישראלים נעם רותם ורן לוקאר.

"מדובר בפרצה פשוטה מאוד שמובילה לפרצות נוספות שמאפשרות השתלטות מלאה על חשבונות במערכת", אמר רותם לכלכליסט. "מכיוון שמדובר במערכת אבטחה פיזית, היא שומרת טביעות אצבעות, צילומי פנים, ומידע ביומטרי שברגע שהוא דלף - אי אפשר להחזיר את הגלגל לאחור. כל אותם משתמשים לא יוכלו יותר לשמור על המידע שלהם לעצמם. טביעות אבצע אי אפשר לשנות, וארגון ששומר אותם ולא טורח אפילו להצפין אותן אחראי לנזק עצום שעשוי היה להיגרם למיליוני בני אדם. השתלטות על חשבון במערכת הזו מאפשרת שינוי של טביעות אצבעות למשתמש מסוים, כך שפורץ יוכל להיכנס בשם המשתמש הזה לאזורים מוגבלים במתקן בה מותקנת מערכת האבטחה".

Biostar 2 היא פלטפורמת מנעולים חכמים מבוססת אבטחה ביומטרית, שנועדה לאפשר לארגונים לבצע בקרת גישה בכניסה למתקנים או בתוך המתקנים עצמם. האפליקציה המקוונת של הפלטפורמה מאפשרת לבעלי הרשאות לשלוט בגישה למתקני החברה או לאזורים מאובטחים בהם, לנהל את הרשאות הגישה של עובדים, לנטר את הפעילות ולבצע אינטגרציה עם אפליקציות צד ג'. בין השאר עושה המערכת שימוש בתמונות פנים וטביעות אצבע כדי לזהות משתמשים. המערכת מפותחת על ידי Suprema, לטענתה אחת מ-50 חברות האבטחה הגדולות בעולם, ובעלת נתח השוק הגבוה ביותר באבטחה ביומטרית באזור אירופה, המזרח התיכון ואפריקה. החוקרים לא זיהו פעילות של המערכת בישראל.

לדברי החוקרים, בפרצה נחשפו 27.8 מיליון רשומות ומידע בהיקף של 23 גיגה-בייט, כולל פרטי גישה ללוחות בקרה של לקוחות, מידע ביומטרי כמו טביעות אצבע ותמונות פנים, שמות משתמש וסיסמאות, תיעוד של כניסות ויציאות מאזורים מאובטחים, פרטי עובדים כולל פרטים אישיים, תאריך תחילת עבודה ורמת סיווג האבטחה הארגוני שלהם, ומפות היררכיה ארגוניות.

"פוטנציאל ענקי לפעילות פלילית ולהונאה"

"המידע שנחשף בפרצה רגיש ביותר", כתבו החוקרים במסמך שמסכם את הממצאים. "הוא כולל מידע אישי מפורט של עובדים, ושמות משתמש וסיסמאות לא מוצפנות שמספקים להאקרים גישה לחשבונות והרשאות גישה במתקנים שעובדים עם Biostar 2. שחקנים רעים יכולים להשתמש בפרצה הזו כדי לפרוץ למתקנים מאובטחים ולתמרן את פרוטוקולי האבטחה שלהם לטובת פעילות פלילית. מדובר בדליפה ענקית שמסכנת ארגונים ועובדיהם. הצוות שלנו קיבל גישה ליותר ממיליון טביעות אצבע, וכן מידע על תמונות פנים. ביחד עם פרטים אישיים, שמות משתמש וסיסמאות יש פוטנציאל ענקי לפעילות פלילית ולהונאה".

החוקרים הופתעו בפרט מהאבטחה הנמוכה של סיסמאות שבחרו משתמשים: "חשבונות רבים כללו סיסמאות פשוטות עד כדי גיחוך, כמו 'Password' ו-'abcd1234'. קשה לדמיין שאנשים עדיין לא מבינים עד כמה זה מקל על תוקף לחדור לחשבון שלהם. כמובן שמשתמשים רבים יצרו סיסמאות מורכבות ויעילות יותר. ואולם, הצלחנו בקלות לזהות גם אותן כי הוא אוחסנו בקובץ לא מוצפן".

עוד ציינו החוקרים שההשפעה הגדולה ביותר של הפרצה נעוצה בהיקפה. "משתמשי Biostar 2 פזורים בכל העולם", כתבו. "לפלטפורמה יש יותר מ-1.5 מיליון התקנות בכל העולם, וכולן יכולות להיות פגיעות לדליפה. סך האנשים שנפגעו יכול להגיע לעשרות מיליונים".

רותם הוסיף: "העובדה שגם הסיסמאות נשמרו בצורה לא מוצפנת, גם המידע הביומטרי היה נגיש ולא מאובטח, וגם היעדר כל מנגנוני בקרה ודיווח בחברה, מעלה שאלות קשות לגבי למי אנחנו נותנים את המידע הביומטרי שלנו. לעובד באחת מאלפי הארגונים שהם לקוחות החברה הזו אין ברירה אלא לתת את המידע הביומטרי שלו אחרת לא יוכל לעבוד במתקן המאובטח. באותה העת המעסיק שלו מעביר את המידע הזה לצד שלישי שאין לו יכולת להגן עליו. זו בעיה חמורה מאוד".

מ-Suprema נמסר בתגובה לגארדיאן שהחברה מבצעת בדיקת עומק של המידע שסיפקו החוקרים ושבכוונתה ליידע לקוחות שנמצאים בסיכון. "אם יש איום ודאי על המוצר או השירותים שלנו, ננקוט בפעולה מיידית ונפרסם את ההודעות המתאימות כדי להגן על לקוחות ועל הנכסים שלהם", מסרה.