Ditemukan: Basis data yang dapat dibaca dunia digunakan untuk mengamankan bangunan di seluruh dunia

Ilustasi

 INTERNASIONAL, (newspedia). - Para peneliti mengatakan mereka telah menemukan database yang dapat diakses publik yang berisi hampir 28 juta catatan — termasuk kata sandi teks biasa, foto wajah, dan informasi pribadi — yang digunakan untuk mengamankan bangunan di seluruh dunia.

Para peneliti dari vpnMentor melaporkan pada hari Rabu bahwa database tersebut digunakan oleh sistem keamanan Biostar 2 berbasis web yang dijual oleh Suprema yang berbasis di Korea Selatan. Biostar menggunakan pengenalan wajah dan pemindaian sidik jari untuk mengidentifikasi orang yang diberi wewenang untuk memasuki gudang, bangunan kota, bisnis, dan bank. vpnMentor mengatakan sistem ini memiliki lebih dari 1,5 juta instalasi di berbagai negara termasuk AS, Inggris, Indonesia, India, dan Sri Lanka.

Menurut vpnMentor, database 23-gigabyte berisi lebih dari 27,8 juta catatan yang digunakan oleh Biostar untuk mengamankan fasilitas pelanggan. Data tersebut mencakup nama pengguna, kata sandi, dan ID pengguna dalam plaintext, pembuatan log akses, catatan karyawan termasuk tanggal mulai, detail pribadi, data perangkat seluler, dan gambar wajah.

“Kata sandi yang sangat sederhana”

"Salah satu aspek yang lebih mengejutkan dari kebocoran ini adalah seberapa tidak amannya kata sandi akun yang kami akses," tulis vpnMentor Internet Privacy Research Noam Rotem dan Ran Locar. “Banyak akun memiliki kata sandi yang sangat sederhana, seperti 'Kata Sandi' dan 'abcd1234'. Sulit membayangkan bahwa orang masih tidak menyadari betapa mudahnya hal ini membuat peretas mengakses akun mereka. ”

Para peneliti mengatakan data juga termasuk lebih dari 1 juta catatan yang berisi pemindaian sidik jari yang sebenarnya. Laporan hari Rabu tidak memberikan data untuk mendukung klaim, dan peneliti vpnMentor tidak menanggapi permintaan dari Ars untuk mengirim contoh catatan yang menyertakan pemindaian tersebut. Reporter keamanan TechCrunch, Zack Whittaker mengatakan di Twitter bahwa penyelidikannya terhadap beberapa hash acak tidak dapat disimpulkan.

Para pakar keamanan secara luas sepakat bahwa cara terbaik untuk menyimpan atau mengirimkan data biometrik adalah dengan hashing terlebih dahulu untuk mencegah pihak ketiga memperolehnya jika terjadi pelanggaran. Jika ternyata database menyertakan lebih dari 1 juta sidik jari yang sebenarnya, itu akan menjadi pelanggaran serius karena akan mengekspos orang-orang yang menjadi milik cetakan, dan perusahaan tempat orang-orang bekerja, melakukan penipuan. Sidik jari, tidak seperti kata sandi, tidak dapat diubah.

Memperbesar / Kata sandi yang disimpan dalam database untuk BioStar 2.

Beberapa organisasi yang informasinya bersifat publik termasuk:

Amerika Serikat

• Union Member House - Ruang kerja bersama dan klub sosial dengan 7.000 pengguna.
• Lits Link - konsultasi pengembangan perangkat lunak.
• Phoenix Medical - produsen produk medis.

Indonesia

• Uptown - ruang kerja bersama yang berbasis di Jakarta dengan 123 pengguna.

India dan Sri Lanka

• Power World Gyms - Waralaba gym kelas tinggi dengan cabang di kedua negara. Kami mengakses 113.796 catatan pengguna dan sidik jari mereka.

Kerajaan Inggris

• Sumber Daya Polimer Terkait - Spesialis daur ulang plastik.
• Tile Mountain - Dekorasi rumah dan pemasok DIY.
• Farla Medical - toko peralatan medis.

UAE

• Global Village - Festival budaya tahunan, dengan akses ke 15.000 sidik jari.
• IFFCO - Kelompok produk makanan konsumen.

Finlandia

• Euro Park - Pengembang ruang parkir mobil dengan situs di seluruh Finlandia.

Turki

• Ostim - Pengembang konstruksi zona industri.

Jepang

• Inspired.Lab - Ruang kerja dan desain di Chiyoda City, Tokyo.

Belgium

• Adecco Staffing - Kami menemukan sekitar 2.000 sidik jari yang terhubung dengan raksasa kepegawaian dan sumber daya manusia.

Jerman

• Identbase - Data milik pemasok ini ID komersial dan teknologi pencetakan kartu akses juga ditemukan di database yang terbuka.

Laporan Rabu mengatakan para peneliti menemukan database melalui proyek pemetaan Internet yang memindai port dari blok IP yang sudah dikenal untuk kerentanan.

"Tim menemukan bahwa sebagian besar basis data BioStar 2 tidak terlindungi dan sebagian besar tidak terenkripsi," tulis para peneliti. "Perusahaan menggunakan basis data Elasticsearch, yang biasanya tidak dirancang untuk penggunaan URL. Namun, kami dapat mengaksesnya melalui browser dan memanipulasi kriteria pencarian URL untuk mengekspos sejumlah besar data."

Selain menyimpan informasi dalam basis data yang dapat dibaca dunia, para peneliti vpnMentor mengatakan, Suprema juga memungkinkan catatan untuk ditambahkan, dihapus, atau dimodifikasi. Itu membuka kemungkinan bahwa catatan ditambahkan untuk memungkinkan orang yang tidak berwenang mengakses situs sensitif. Ini juga membuka pintu untuk pencurian identitas, serangan phishing, pemerasan, dan pemerasan.

Peneliti vpnMentor mengatakan mereka menemukan database yang terbuka pada 5 Agustus dan secara pribadi melaporkan temuan itu dua hari kemudian. Data tidak diamankan sampai Selasa, enam hari kemudian. Perwakilan Suprema tidak menanggapi permintaan untuk mengomentari cerita ini.