ثغرة أمنية في التحقق الحيوي تسببت في تسريب أكثر من مليون بصمة

تعرض نظام للتحقق الحيوي في المملكة المتحدة إلى ثغرة تسببت في تسريب بيانات هائلة، حيث كشف تقرير من الغارديان أنّ ثغرة أمنية في التحقق الحيوي الذي يتم استخدامه بواسطة البنوك والشرطة في المملكة المتحدة كشفت عن بصمات أكثر من مليون شخص، بالإضافة إلى كلمات المرور غير المشفرة، ومعلومات التحقق بالوجه، وغيرها من البيانات الشخصية.

 

كل هذا بسبب ثغرة في Biostar 2، وهو نظام قفل حيوي تديره شركة الأمن Superma ويستخدم بصمات الأصابع، وتقنية التعرف على الوجه لمنح الأفراد المصرح لهم الوصول إلى المباني.

 

وفي الشهر الماضي، تم دمج النظام مع نظام وصول آخر هو AEOS الذي تستخدمه 5700 مؤسسة عبر 83 دولة، بما في ذلك شرطة العاصمة البريطانية لندن.

 

ثغرة أمنية في التحقق الحيوي

 

تم اكتشاف الخلل الأمني في النظام بواسطة الباحثين من الأراضي المحتلة نعوم روتم، وران لوكار من vpnmentor.

 

في فحص روتيني للشبكة تم إجراؤه الأسبوع الماضي، وجد الاثنان أن قاعدة بيانات Biostar 2 كانت متاحة للجميع، وأنه من خلال التلاعب بمعايير البحث عن عناوين URL تمكنوا من الوصول إلى ما يقرب من 28 مليون سجل، و23 جيجابايت من البيانات، بما في ذلك بصمات الأصابع، وبيانات التعرف على الوجه، وكلمات المرور، ومعلومات التخليص الأمني.

 

وفي حديث مع الغارديان البريطانية، قال روتم إن الخلل يعني أن بإمكانه تغيير البيانات وإضافة مستخدمين جدد، مما يسمح له بإضافة بصمة إصبعه الخاصة إلى النظام والوصول إلى أي تسهيلات يُسمح للمستخدم الحقيقي الوصول إليها.

 

وأضاف أن الأمر خطير للغاية خصوصًا وأنّ النظام يستخدم في 1.5 مليون موقع حول العالم، كما أنّ كلمات المرور يمكن تغييرها ولكن بصمات الأصابع لا يمكن تغييرها أبدًا.

 

اقرأ أيضًا: ثغرة أمنية في خدمة صور جوجل قد تُظهر صورك إلى الآخرين

 

وقال روتم أن الفريق قام بالعديد من المحاولات للاتصال بشركة Superma قبل نقل النتائج التي توصلوا إليها إلى الصحافة، ولكنهم لم يتلقوا ردًا، ومع ذلك أخبر رئيس قسم التسويق في Superma آندي آهن في تصريح لصحيفة الغارديان أن الشركة أجرت تقييمًا متعمقًا حول ما توصلت إليه أبحاث vpnmentor، وستتيح للعملاء معرفة ما إذا كان هناك تهديد.

 

وقال “إذا كان هناك أي تهديد محدد لمنتجاتنا أو خدماتنا، فسنتخذ إجراءات فورية ونصدر إعلانات مناسبة لحماية الشركات والأصول القيّمة لعملائنا”.