Een omvangrijke databank met zowat een miljoen vingerafdrukken en andere biometrische gegevens was zo goed als onbeschermd en onversleuteld op het internet terug te vinden. De databank was afkomstig van een toegangscontrolesysteem dat door diverse organisaties gebruikt wordt, onder meer door de Belgische tak van uitzendbureau Adecco. Dat hebben Israëlische beveilingsonderzoekers ontdekt.
De gegevens zijn afkomstig van het systeem ‘Biostar 2’ van de Zuid-Koreaanse firma Suprema, die naar eigen zeggen de Europese marktleider is voor toegangscontrolesystemen op basis van biometrische data. Met Biostar 2 kunnen vingerafdrukken of gezichtsscans via een webgebaseerd platform als sleutel gebruikt worden. Ondernemingen kunnen op die manier de toegangscontrole tot hun gebouwen zelf organiseren. AEOS, een toegangscontrolesysteem waarin Biostar 2 geïntegreerd zit, wordt gebruikt door 5.700 organisaties in 83 landen, waaronder overheden, banken en de Britse politie.
Het datalek werd ontdekt door de Israëlische hackers Noam Rotem en Ran Lokar, die werken voor beveiligingsbedrijf vpnMentor. Zij stelden vast dat het mogelijk is om volledige controle over de accounts in het systeem te krijgen. De onderzoekers hadden toegang tot meer dan 27,8 miljoen datasets en 23 gigabyte aan gegevens. Daarbij bevonden zich onder meer vingerafdruk- en gezichtsherkenningsdata, gezichtsfoto’s van gebruikers, niet-gecodeerde gebruikersnamen en wachtwoorden en ook persoonlijke gegevens van personeelsleden. De biometrische gegevens waren volgens de onderzoekers in hun geheel opgeslagen, zonder hash. Bovendien konden de gegevens gemanipuleerd worden. De onderzoekers konden bijvoorbeeld iemands vingerafdruk vervangen door hun eigen vingerafdruk.
De Israëliërs noemen Adecco België als een van de bedrijven tot wiens data ze toegang hadden. Ze vonden ongeveer 2.000 vingerafdrukken die verbonden zijn aan het uitzendbureau.
“Als uw werkgever of een bedrijf waarvan u klant bent BioStar 2 gebruikt, dan kunnen uw persoonlijke informatie, uw vingerafdrukken of uw gezichtsfoto gelekt zijn”, schrijven ze in een blog. “Dit lek kan worden misbruikt voor een breed scala aan criminele activiteiten die rampzalig zouden zijn voor zowel de betrokken organisaties als hun werknemers of klanten.”
Het beveiligingslek werd op 5 augustus ontdekt en vpnMentor heeft op 7 augustus Suprema van haar bevindingen op de hoogte gebracht. Die firma heeft in een reactie aan The Guardian laten weten dat er een “grondige evaluatie” werd gemaakt. Sinds dinsdag is de databank niet meer online te vinden. De onderzoekers merken echter op dat een datalek met vingerafdrukken of gezichtfoto’s zeer problematisch is omdat je ze, in tegenstelling tot wachtwoorden, niet kan veranderen nadat ze gestolen zijn.
