חוקרים ישראלים חשפו מאגר ביומטרי עולמי ובו מיליון טביעות אצבע

החוקרים הישראלים נועם רותם ורן לוקה גילו הפרה משמעותית במערכת אבטחה ביומטרית ואבטחת סיסמאות המשמשת בנקים, רשויות חוק, כולל משטרת המטרופולין של לונדון, ועובדי כוחות ביטחון קבלניים ברחבי העולם – יותר ממיליון טביעות אצבעות, ובנוסף שמות משתמש לא מוצפנים, סיסמאות, מידע על זיהוי פנים ונתונים אישיים של העובדים, נמצאו בקטלוג נגיש לציבור.

מלבד גניבת נתונים, החוקרים מאמינים כי אם המאגר מנוצל, המידע יכול לשמש האקרים למניפולציה של מערכות בקרה, בכדי לאפשר להם כניסה למתקנים מאובטחים.

מערכת הנעילה הביומטרית, המכונה Biostar 2, מנוהלת על ידי חברת האבטחה סופרימה. בחודש שעבר הוכרז כי השירות השתלב עם AEOS – מערכת בקרה המשמשת כמעט 6,000 ארגונים ב-83 מדינות. קהל הלקוחות של שירות האבטחה כולל ממשלות ושירותים ציבוריים.

לוקה ורותם, שעבדו מטעם שירות הרשת הפרטית הווירטואלית vpnmento, סיפרו כי בחנו את בסיס הנתונים וגילו שהמידע במערכת האבטחה ברובו לא מוצפן ולא מוגן. לשניים הייתה, לדבריהם, גישה ל-23 ג'יגה-נתונים ול-27.8 מיליון רשומות, כולל טביעות אצבעות, תמונות, לוחות מחוונים, שמות משתמש ולוחות ניהול.

הצליחו להוסיף טביעת אצבע או תמונה לחשבון משתמש קיים

בשיחה עם הגרדיאן אמר רותם, שהוא גם בלוגר מוכר בנושאי אבטחת מידע: "הצלחנו למצוא סיסמאות שנשמרו כטקסט רגיל של חשבונות אדמין", והוסיף והבהיר כי "הגישה מאפשרת קודם כל לראות מיליוני משתמשים שעושים במערכת זו שימוש בכדי לגשת למיקומים שונים, ולראות בזמן אמת איזה משתמש נכנס לאיזה מתקן או לאיזה חדר בכל מתקן, אפילו". רותם סיפר עוד ש"יכולנו לשנות נתונים ולהוסיף משתמשים חדשים", והבהיר כי על ידי שינוי הנתונים הצליח להוסיף טביעת אצבע או תמונה משלו לחשבון משתמש קיים ולגשת לקבצים לפי בחירתו. לדבריו, הגיע לנתונים, חלקם רגישים במיוחד, שנאספו במאגר ושייכות לחברות שונות ברחבי העולם.

בפוסט שכתבו על הממצא שלהם טענו החוקרים כי "במקום לשמור ערבוביה של טביעות האצבע (שלא ניתן להנדסה הפוך) הם שומרים את טביעות האצבעות האמיתיות של האנשים, שניתן להעתיק למטרות זדוניות". 

רותם ולוקה הבהירו שהבעיתיות הגדולה שמאחורי פגיעות מסוג זה היא שסיסמאות ניתן לשנות, אך טביעות אצבעות ונתוני זיהוי פנים הם עניין שברגע שהוא דולף יכול לשמש גורמים זדוניים כל עוד האדם חי.

באתר שלה כותבת חברת Suprema שהיא "ספקית עולמית מובילה בתחום הביומטריה והאבטחה". ומעידה כי החברה "מחזיקה ברשת מכירות ברחבי העולם ביותר מ-130 מדינות". לדבריה, היא ספקית מספר אחת לשירותי אבטחה ביומטריים באזור EMEA ומתברגת בין 50 יצרני האבטחה המובילים בעולם.

לוקה ורותם סיפרו כי ניסו ליצור קשר עם סופרימה פעמים רבות, אך טענו כי חברת האבטחה טרם הגיבה לפניותיהם. במסגרת פרסום ממצאיהם הם דוחקים בחברות המשתמשות ב-Biostar 2 ליצור קשר ישיר עם סופרימה, ולשנות באופן מיידי את סיסמאות לוח המחוונים של כל המשתמשים בשירות.

משרד נציבות המידע הבריטי אישר כי הוא מודע לדו"ח ושבכוונתו לחקור את האירוע.