نشرت صحيفة The Guardian تقريراً أفادت فيه بتسريب البيانات البيومترية والمعلومات الشخصية الموجودة في قاعدة بيانات تابعة لأحد أنظمة الأمان الشهيرة.
تم اكتشاف التسريب من قبل الباحثين الأمنيين Noam Rotem و Ran Locar وتضمّنت المعلومات المسربة بيانات بصمات الأصابع لأكثر من مليون شخص، ومعلومات التعرف على الوجه، وأسماء المستخدمين وكلمات المرور غير المشفرة.
قاعدة البيانات المسربة تتبع لنظام Biostar 2 الخاص بشركة Suprema وتم العثور على المعلومات التي تضمنت ما مجموعه 27.8 مليون سجل بلغ حجمها 23 جيجابايت في قاعدة بيانات متاحة للجمهور.
والأسوأ من ذلك أنه من غير المعروف فيما إذا كانت قاعدة البيانات قد تم الوصول لها من قبل وفيما إذا تمت سرقة البيانات أو تم استخدامها بشكل مسيء.
Biostar 2 هو نظام أمان تستخدمه المؤسسات في جميع أنحاء العالم لتأمين المباني التجارية ويستخدم هذا النظام للتحكم في الوصول إلى المرافق في الولايات المتحدة الأمريكية والمملكة المتحدة واليابان والهند والإمارات العربية المتحدة.
نظراً لأن المعلومات التي تم اختراقها شملت أسماء المستخدمين وكلمات المرور، فقد تسمح للمتسللين المحتملين بإنشاء أو تعديل بيانات اعتماد المستخدم مما يسمح لهم بالوصول إلى أي مبنى مؤمن باستخدام النظام.
قد يكون للخرق أيضاً آثار على أي موظف مسجل في نظام الأمان، يمكن استخدام المعلومات الشخصية المكشوفة لارتكاب جرائم الاحتيال.
ويمكن استخدام بيانات بصمة الإصبع (التي تم تخزينها بتنسيق غير مشفر) للوصول إلى أي أنظمة أخرى مؤمنة باستخدام نفس بيانات الاعتماد البيومترية.
الأكثر إثارة للقلق هو حقيقة أنه لا يمكنك تغيير بصمة الإصبع بعد أن يتم كشفها كما لو كانت كلمة مرور مخترقة إذا تم كشفها بهذه الطريقة.
بالإضافة إلى استخدامه لتأمين المباني في جميع أنحاء العالم، تشير الصحيفة إلى أن شركة Supreme قد أعلنت مؤخراً أن نظامها Biostar 2 سيتم دمجه في نظام AEOS، وهو نظام أمان منفصل تستخدمه 83 دولة من قبل منظمات تشمل الحكومات والبنوك وشرطة المتروبوليتان في المملكة المتحدة.
على الرغم من أن الثغرة الأمنية قد تم إصلاحها الآن، إلا أن الباحثين في مجال الأمن قالوا إن Supreme لم تستجب إلى حد كبير ولم تكن متعاونة بعد أن أبلغوا عن نتائجهم.
ونصح الباحثون الأمنيون أي من الشركات التي تستخدم نظام Biostar 2 بتغيير كلمات المرور التي يستخدمونها للوصول إلى لوحة المعلومات وكذلك مطالبة المستخدمين بتغيير كلمات المرور الخاصة بهم.