Zajmująca się cyberbezpieczeństwem firma VPNMentor poinformowała, że z systemu Biostar 2 – używanego m.in. przez brytyjską policję – wyciekły wrażliwe dane. Ofiarą mogły paść miliony osób.
Stworzony przez firmę Suprema Biostar 2 to zestaw narzędzi który umożliwia tworzenie zabezpieczeń opartych o biometrię, na przykład zamków otwieranych odciskiem palca czy rozpoznawaniem twarzy. Korzysta z niego wiele firm i agencji rządowych, między innymi brytyjska policja.
Eksperci z VPNMentor odkryli, że duża ilość danych biometrycznych wykorzystywanych przez Biostar 2 wyciekła. Udało im się odnaleźć aż 23 gigabajty danych zawierających 30 milionów danych biometrycznych – odcisków palców, zdjęć, zdjęć siatkówek oczu, próbek głosu etc. Znajdowały się tam również dane osobowe, jak adresy, hasła czy informacje o tym kiedy wchodzili do miejsc zabezpieczonych tym systemem. Dane te zostały odkryte w internecie 5 sierpnia i zniknęły tydzień później, nie wiadomo na razie jak długo były dostępne.
Noam Roten, jeden z ekspertów którzy odkryli wyciek podkreśla, że po upublicznieniu wrażliwych danych klienci Supremy nigdy nie będą już bezpieczni. W przeciwieństwie do hasła czy numeru konta nie da się bowiem zmienić odcisku palca. Stwierdził, że dane te mogą zostać użyte w celach przestępczych i wyciek może dotknąć zarówno firmy, które korzystają z Biostar 2 jak i ich klientów.
Nie wiadomo które firmy i organizacje zostały dotknięte. Eksperci z VPNMentor ściągnęli bowiem tylko tyle danych ile było im potrzebne do potwierdzenia, że wyciek faktycznie miał miejsce i z powodu troski o prywatność nie sprawdzili całości. To, co wiadomo, pokazuje jednak, że wyciek dotknął firmy z całego świata – od sieci siłowni w Indiach i Sri Lance po belgijską firmę zajmującą się pośrednictwem pracy.
Nie wiadomo także w jaki sposób wrażliwe dane znalazły się w internecie i kto je tam umieścił. Większość osób podejrzewa, że zostały wykradzione przez hakerów, ale równie prawdopodobne jest, że stało się tak na skutek czyjegoś błędu.
VPNMentor ujawnił, że przed przekazaniem całej sprawy mediom skontaktowali się z Supremą aby ostrzec ich przed tym, że ich dane wyciekły. Nikt nie chciał z nimi jednak rozmawiać. „Zaczęliśmy dzwonić do wszystkich biur po kolei i musieliśmy sobie radzić z ludźmi, którzy po prostu odkładali słuchawki” – powiedział Rotem. Na razie firma nie wydała w tej sprawie żadnego oświadczenia.