Den britiske avisen The Guardian melder nå om et alvorlig sikkerhetsbrudd som har ført til at store mengder biometriske data, passord og andre typer svært sensitive data, har ligget åpent tilgjengelig for allmennheten.
Det er sikkerhetsselskapet Suprema som var syndebukken bak den alvorlige lekkasjen – et selskap som ifølge dem selv har den største markedsandelen innen biometrisk adgangskontroll i EØS-regionen. Supremas produkter selges også i Norge.
Åpen database
Et av selskapets produkter er det såkalte Biostar 2-systemet, hvor den ferske lekkasjen skjedde. Biostar 2 er navnet på et webbasert, sentralisert smartlåssystem som blant annet brukes til å gi adgang til sikre bygninger via biometriske data som fingeravtrykk og ansiktsgjenkjenning.
Lekkasjen ble avdekket av de israelske sikkerhetsforskerne Noam Rotem og Ran Locar, som til vanlig er tilknyttet vpnMentor – en tjeneste som spesialiserer seg på evaluering av VPN-tjenester.
Etter en rutinemessig nettverksskanning fant sikkerhetsforskerne ut at Biostar 2-databasen var offentlig tilgjengelig, og på den befant det seg ifølge forskerne alle mulig typer data av det aller mest sensitive slaget.
Dataene omfattet blant annet detaljert, personlig informasjon om ansatte, ukrypterte brukernavn og passord, samt informasjon knyttet til ansattes sikkerhetsklareringer. I tillegg klarte forskerne å skaffe seg tilgang til over én million fingeravtrykk og store mengder ansiktgjenkjenningsdata.
Til sammen skal forskerne ha hatt tilgang til hele 27,8 millioner datafiler som hadde en størrelse på totalt 23 gigabyte.
– Alvorlig
Et av selskapene som forskerne fant sensitive data fra er parkeringsselskapet EuroPark i Finland, som har andre eiere enn Europark her i Norge.
Ifølge forskerne er lekkasjen svært alvorlig fordi den kan gi potensielle ondsinnede aktører alle verktøyene de trenger til å for eksempel skaffe seg tilgang til sikre bygninger, som igjen kan brukes til omfattende tyverier. Identitetstyverier og utpressing er andre former for kriminalitet som lekkasjen enkelt legger til rette for.
Hullet som gjorde lekkasjen mulig skal riktignok nå være fikset, men som sikkerhetsforskerne peker på er biometrisk informasjon – i motsetning til brukernavn og passord – ikke noe som kan endres. Derfor kan skaden bli stor selv om man tar grep i etterkant, men det er uvisst om ondsinnede aktører faktisk har fått tilgang til noen av dataene før hullet ble tettet.
Mer informasjon kan du finne på bloggen hos vpnMentor.
Oppdatert: I første versjon av denne artikkelen skrev vi at Europark i Finland var en del av det samme selskapet som norske Europark. Vi er blitt gjort oppmerksomme på at dette ikke stemmer. Europark i Norge eies av Apcoa, som kjøpte Europark i Norge, Sverige og Danmark for 15 år siden – og har ingenting å gjøre med finske Europark, som eies av Indigo Invest/Onepark.
– Apcoa er Europas og Norges største aktør innen parkering, og ikke minst som en følge av digitaliseringen også innenfor parkeringsbransjen har vi investert mye nettopp innenfor denne type sikkerhet, opplyser Rune Feltman i Apcoa til digi.no.
Les også: Krypto-svindlere har stukket av med over 38 milliarder kroner bare i år »