Một hệ thống sinh trắc học được sử dụng bởi các ngân hàng, cảnh sát và các công ty quốc phòng của Anh đã bị một nhóm nhà nghiên cứu Israel phát hiện ra lỗ hổng bảo mật, tiết lộ dấu vân tay của hơn một triệu người cũng như mật khẩu không được mã hóa, thông tin nhận dạng khuôn mặt và dữ liệu cá nhân khác.
Biostar 2, hệ thống khóa sinh trắc học được quản lý bởi công ty bảo mật Suprema, sử dụng dấu vân tay và công nghệ nhận dạng khuôn mặt để cho các cá nhân nhất định được quyền vào một số khu vực bên trong toà nhà. Vào tháng trước, nền tảng này đã được tích hợp vào một hệ thống truy cập khác là AEOS và được sử dụng bởi 5.700 tổ chức trên 83 quốc gia, bao gồm cả Cảnh sát Thủ đô Vương quốc Anh.
Tuy nhiên, một lỗ hổng bảo mật đã được phát hiện ra bởi các nhà nghiên cứu Noam Rotem và Ran Locar là người Israel đến từ dịch vụ đánh giá VPN là vpnmentor. Trong một lần quét mạng định kỳ được thực hiện vào tuần trước, cặp đôi đã phát hiện ra rằng cơ sở dữ liệu của Biostar 2 là công khai và có thể được tìm thấy bằng cách sử dụng phương thức thao tác trên URL (URL Manipulation) của trang web. Một đường dẫn URL của trang web có chứa các tiền tố và hậu tố nhất định cho một số thư mục đặc biệt trong cơ sở dữ liệu hoặc các thông tin nhạy cảm của người dùng. Bằng cách này thì họ đã truy cập được kho cơ sở dữ liệu đó với gần 28 triệu bản ghi và 23GB dữ liệu, bao gồm dấu vân tay, dữ liệu nhận dạng khuôn mặt, mật khẩu và các thông tin bảo mật cho phép đến các khu vực bị hạn chế.
Khi nói chuyện với The Guardian, Rotem nói rằng lỗ hổng cho phép ông có thể thay đổi dữ liệu và thêm người dùng mới, điều này sẽ cho phép ông thêm dấu vân tay của mình vào hệ thống và truy cập bất kỳ phương tiện, toà nhà hoặc bất kì khu vực nào mà người dùng ban đầu trước đó được phép truy cập. Để thêm vào tính nghiêm trọng, ông nói thêm rằng dịch vụ này đang được sử dụng ở 1,5 triệu địa điểm trên khắp thế giới. Ngoài ra ông còn nhấn mạnh rằng mật khẩu thì dễ thay đổi, nhưng dấu vân tay thì không.
Rotem cho biết nhóm của ông đã thực hiện nhiều liên lạc với Suprema trước khi đưa phát hiện của họ lên báo chí, nhưng vẫn chưa có phản hồi từ công tuy. Tuy nhiên, Andy Ahn, người đứng đầu bộ phận tiếp thị của Suprema, nói với The Guardian rằng công ty đã thực hiện một “đánh giá chuyên sâu” về nghiên cứu của vpnmentor và sẽ cho khách hàng biết nếu có mối đe dọa nào xảy ra.
