En miljon fingeravtryck läckte efter säkerhetsmiss

2019-08-15 14:01  
Foto: Science Photo Library/TT

Känsliga biometridata från en miljon användare har hittats okrypterade på en öppen databas tillhörande it-företaget Suprema.

Den massiva läckan av biometridata upptäcktes av de israeliska säkerhetsanalytikerna Noam Rotem och Ran Locar, vilket The Guardian var först att rapportera om.

All data, sammanlagt 23 gigabyte, var lagrad på en Elasticsearch-databas som låg vidöppen på webben, enligt analytikerna. Databasen var en del av biometriföretagets Supremas plattform Biostart 2, lanserad så sent som förra månaden.

"Hittade admin-lösenord i klartext"

Informationen som fanns på databasen var delvis icke-hashad. Det innebär att data i form av bland annat fingeravtryck och ansiktsmönster från totalt en miljon användare låg sparade helt okrypterade.

Läs mer: Mobil för 72 000 kronor ska hålla företagshemligheterna säkra

– Vi kunde hitta lösenord lagrade i klartext till administratörskonton. Det var också möjligt för oss att ändra data och lägga till nya användare i databasen, säger säkerhetsanalytikern Noam Rotem till The Guardian.

Har brittiska polisen som kund

Supremas främsta marknad är biometri för inpasseringssystem. Den nya Biostart 2-plattformen är integrerat i AOES, ett system för åtkomstkontroll som används av 5 700 organisationer i 83 länder. Bland kunderna finns brittiska polisen, banker och flera statliga myndigheter.

Läs mer: Misstänkt dataintrång mot lönesystemet Primula

Säkerhetsluckan ska nu ha täppts till av Suprema. I nuläget är det dock oklart om några svenska användare hann drabbas. Enligt säkerhetsexperten Noam Rotem är den här typen av fatala missar, där känsliga data lagras öppet, tyvärr knappast något helt unikt.

– Det är väldigt vanligt, skulle jag säga. Det finns bokstavligen miljoner av öppna system på nätet. Och på vissa av dessa finns information som är ganska känslig, säger han.

Kalle Wiklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt