Biometrika by měla být používána k uživatelským jménům, ne heslům, reaguje Kaspersky na únik dat
Otisky prstů, rozpoznávání obličejů, nezašifrovaná jména a hesla. Takto citlivá data o milionu uživatelů po celém světě byla dostupná ve volně přístupné databázi. Únik biometrických údajů je velmi závažný, protože zatímco heslo si změníte lehce, otisk prstu nikoliv.
Data obsahující 28 milionů záznamů o celkové velikosti 23 gigabytů, která se dotýkají až jednoho milionu uživatelů, nalezli v minulém týdnu volně přístupné dva izraelští vědci Noam Rotem a Ran Locar, kteří spolupracují s platformou vpnMentor. Ochranu dat měl zajistit webový biometrický zámek BioStar 2, ovšem dle zjištění serveru The Guardian byla nechráněná a z většiny nezašifrovaná.
Únik dat z BioStar 2 izraelští vědci objevili ve fulltextovém vyhledávači Elasticsearch a po manipulaci s URL adresou do ní získali přístup. Dostali se k milionům záznamů, a to včetně biometrických údajů, mimo jiné k více než jednomu milionu otisků prstů. „Našli jsme třeba textový soubor s hesly pro účty správců,“ popsal Rotem britskému serveru. Databáze byla navíc volně editovatelná, takže z ní mohl naprosto kdokoliv údaje mazat, případně je tam naopak přidávat.
Webový biometrický zámek spadá pod bezpečnostní firmu Suprema, která má více než miliardu zákazníků. Funguje na principu přístupu podle biometrických údajů, například pro odemykání kanceláří či skladů. I tyto údaje byly k dispozici ve veřejně dostupné databázi.
Vědci se tak dostali například k datům amerického výrobce léčiv Phoenix Medical nebo řetězce indických posiloven Power World Gyms. Jak upozorňuje The Guardian, BioStar 2 používají i některé britské banky nebo třeba londýnská metropolitní policie.
“Tento incident znovu připomíná rizika spojená s používáním biometrických identifikátorů. Pro kyberzločince jsou biometrická data stejně důležitým cílem jako uživatelská jména a hesla,” říká pro Digibiz.cz security researcher společnosti Kaspersky David Emm s tím, že ochrana takových dat je o to důležitější, protože v případě prolomení je obvyklé doporučení ke změně hesla k ničemu. “Biometrická data měnit nemůžete,” říká.
Nedávná kauza Supremy je ovšem jen jednou kapkou v moři podobných kauz. Například už před dvěma lety došlo k úniku biometrických dat v Indii, kde byla kvůli několika chybám úřadů volně přístupná data největšího světového systému pro biometrickou identifikaci uživatelů Aadhaar. Dostupné záznamy obsahující otisky prstů i skeny duhovek se týkaly až 135 milionů uživatelů.
Řešením je podle odborníků nepřehánět to s biometrikou. A pokud ano, pak je na ni třeba začít pohlížet jinou optikou.
“Domnívám se, že biometrika by měla být použita jako alternativa k uživatelským jménům, nikoliv heslům. Pokud se do nesprávných rukou dostane heslo, můžete jej změnit. Otisk vašeho prstu už ale bude na internetu k dispozici napořád,” uzavírá David Emm z Kaspersky.