پاسخ شرکت سوپریما (Supreme) در خصوص افشای میلیون ها اثر انگشت و چهره بدون رمزگذاری
محققان حریم خصوصی فضای مجازی ، به تازگی پایگاه داده عظیمی از اطلاعات بیومتریک بدون هیچ رمزگذاری از هزاران سازمان در کشورهای مختلف که در معرض دید عموم بوده است، یافته اند.
محققان vpnMentor (شرکتی فعال در حوزه فناوری اطلاعات) دریافتند که می توانند با دسترسی فیزیکی به سخت افزار دستگاه BioStar 2 محصول کمپانی سوپریما (Suprema) به پایگاه داده آن دست پیدا کنند و براساس اطلاعات این وبلاگ ، در این بررسی بیش از 1 میلیون اثر انگشت و همچنین اطلاعات تشخیص چهره بدون رمز گذاری پیدا شده است.
به گفته این دو محقق Noam Rotem و Ran Locar، علاوه بر اطلاعات بیومتریک ، نقض موارد امنیتی در خصوص دسترسی آسان به اطلاعات شخصی، نام کاربری و رمزعبورهای آن هم به صورت خام و رمزگذاری نشده وجود داشت. تیم آنها توانسته به بیش از 27.8 میلیون رکورد و 23 گیگابایت داده دسترسی یابند واین در حالی ست که به نظر می رسد هیچ یک از آنها به طور ایمن مورد استفاده قرار نگرفته بوده است. محققان همچنین خاطرنشان كردند كه تعداد بسیار زیادی رمزعبور ساده و ناامن در بین مدارك افشا، شده قرار گرفته اند. با این حال متاسفانه داده های بیومتریک بر خلاف کلمه های عبور به راحتی قابل تغییر نیستند.
لازم به توضیح است که این خلا امنیتی در 5 آگوست کشف شده و دو روز بعد این مشکل به اطلاع شرکت سازنده رسیده و در 13 آگوست نیز بر طرف گردیده است.
این محققان توانسته بودند اطلاعات لازم جهت دسترسی به اکانت ادمین(administrator accounts) و کم و زیاد نمودن اطلاعات در بانکهای اطلاعاتی را پیدا کنند و این به معنی بالا رفتن احتمال نفوذ یک خرابکار و شکستن لایه های امنیتی کلیه سازمان هایی ست که از این دستگاه بیومتریک برای محافظت از ساختمان ها و اتاق های خود استفاده می کنند.
مقاله پیشنهادی: دستگاه ساعتزنی بیومتریک چیست؟
Noam Rotem در مصاحبه خود با روزنامه “گاردین” گفت : “البته شرکت سوپریما با شرکت های آسیب پذیر در حوزه انتقال داده های آنلاین، خیلی فاصله دارد. “
” روتم می افزاید: “اشتباهات همیشه رخ می دهند و آزمایش واقعی نحوه برخورد با آنها است.”
همچنین اخیراً BioStar 2 با نرم افزار کنترل دسترسی AEOS محصول کمپانی ندپ (NEDAP) یکپارچه شده و این در حالی ست که شرکت ندپ به اداره پلیس انگلستان، شرکت های بزرگ چند ملیتی، سازمان های دولتی و بانک ها سرویس ارائه می کند.
Andy Ahn ، رئیس بازاریابی شرکت سوپریما، به روزنامه “گاردین” گفت : “سوپریما مسولیت اقدامات لازم جهت ارزیابی عمیقی در خصوص این خلا امنیتی را بر عهده گرفته است.”
Andy Ahn گفت : ” اگر در محصولات و خدمات ما تهدید قطعی وجود داشته باشد، ما اقدامات لازم را فورا انجام داده و اطلاع رسانی های مناسب برای محافظت از کسب و کار و دارایی های ارزشمند مشتریان مان را انجام خواهیم داد.”
Ahn در اظهارات ایمیلی به Biometric Update گفت : ” شرکت Suprema از گزارشات موجود در مطبوعات در مورد پلتفرم BioStar 2 و ادعای دسترسی غیرمجاز به داده های مربوط به vpnMentor آگاه است و شرکت هرگونه گزارشی از این ماهیت را بسیار جدی گرفته و در حال بررسی ادعاهای موجود در گزارش های مطبوعاتی بوده و در صورت لزوم با هر شخص ثالث و یا افراد مناسب ارتباط برقرار می کند.
در این مرحله ، نمی توان اظهار نظر بیشتری انجام داد، اما در صورت لزوم در موعد مقرر بیانیه مطبوعاتی دیگری صادر نموده و در مورد اصلاحات صورت گرفته بابت وجود هرگونه خرابی یا خلا امنیتی گزارش شده تا به حال، اطلاع رسانی میکنیم.”
مدیر عامل شرکت Digital Barriers، آقای Zak Doffman ، در مقاله ای برای Forbes می نویسد:” ارائه اطلاعات بیومتریک به تعداد زیادی از سازمانها، به خودی خود ریسک ایجاد می کند و آنچه لازم است در واقع “نوعی پلت فرم یکپارچه” بمنظور محدود کردن تعداد نمونه از داده های بیومتریک ذخیره شده است. در عین حال می بایست دسترسی سایر قسمت ها نیز به عنوان “سرویس” انجام پذیرد.”
به روز رسانی شده در 15 آگوست 2019