The Guardianによると、イスラエルの研究者と vpnmentor サービスは、Suprema 社のBiostar 2 システムのセキュリティ テストを実施しました。このソリューションは、顔または指紋の認識を通じて建物へのアクセスを管理するために、世界中の 5,700 以上の組織に提供されているソリューションです。
セキュリティの専門家は、数百万のユーザーの情報が含まれる暗号化されていないデータベースを発見しました。それにアクセスすると、名前とパスワード、写真、顔認識情報、指紋のほか、アクセス、建物担当者、さまざまなレベルのセキュリティの詳細な記録が見つかりました。
悪意のある攻撃者はこれを利用して安全な施設をハッキングし、犯罪行為のためにセキュリティ プロトコルを操作する可能性があります。
このセキュリティ侵害は非常に深刻であるため、ハッカーが簡単に管理システムにアクセスし、データを変更して施設にアクセスできる可能性があります。管理者の名前とパスワードはプレーンテキストであったため、新しいユーザーを簡単に作成できました。
おそらくこの見落としで最も残念なことは、同社が顔認識情報だけでなく100 万人以上の生体認証データを暴露したままにしてしまったことです。研究者らは、誰かがこのデータベースにアクセスできたかどうかを知りません。指紋は一意であるため、そうすることによってユーザーは生涯にわたって危険にさらされることになります。
Vpnmentor は、侵害についてコメントするために何度も同社に連絡を試みたと述べています。従業員も Biostar 2 の GDPR コンプライアンス担当者も、電話や電子メールへの応答を拒否しました。この欠陥は 8 月 5 日に発見され、同社がセキュリティ侵害を解決するまでに 8 日かかりました。
このサービスは主に米国、英国、日本、アラブ首長国連邦、インドなど世界の 150 万か所で提供されているため、研究者らはこの失敗は憂慮すべきであると指摘しました。ロンドン警視庁などの軍隊は、Biostar 2 システムを使用して施設のセキュリティを管理しています。
参考資料一覧
- https://www.vpnmentor.com/blog/report-biostar2-leak/
- https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms