Hackers hebben een lek ontdekt in Biostar 2. Dat is een online platform waarbij vingerafdrukken en gezichtsscans als sleutels worden gebruikt. Van ruim een miljoen mensen konden zo de biometrische gegevens worden achterhaald, zeggen de hackers tegenover de Britse krant The Guardian.

De Israëlische hackers, werkzaam bij beveiligingsbedrijf VPNMentor, zijn zogenoemde ethische hackers. Dat houdt in dat zij op zoek gaan naar zwakheden in de beveiliging van computersystemen, zonder daarmee misdrijven te willen plegen. Doorgaans informeren zij eerst de beheerder van het systeem, zodat die tijd krijgt het lek te dichten, voordat de kwestie in de publiciteit wordt gebracht om benadeelden te informeren.

Onversleutelde vingerafdrukken
Recent onderzochten zij Biostar 2 van de in biometrie gespecialiseerde Zuid-Koreaanse fabrikant Suprema. Dit is een cloud-systeem waarmee mensen zich kunnen identificeren met een vingerafdruk of gezichtsscan. De hackers ontdekten in het systeem een database waarin optische afdrukken van vingers van ruim een miljoen gebruikers onversleuteld waren opgeslagen. “Onhandig”, zegt Werner Roest van EasySecure, dat Suprema-producten in Nederland op de markt brengt. “En vervelend ook, want het schaadt ten onrechte het vertrouwen in cloud-oplossingen. Die kunnen namelijk heel veilig zijn. Maar dan moeten ze natuurlijk wel correct zijn geconfigureerd. Wij leveren de uitstekende scanners van Suprema, maar hebben een eigen cloud-oplossing: het zwaar en meervoudig beveiligde IdentySoft. Wij hebben onze klanten bewust niet laten overstappen op de nieuwe cloud-oplossing van Suprema, omdat wij geen zekerheid hadden over de veiligheid daarvan. Daarom hoeven klanten van EasySecure zich in principe geen zorgen te maken.”

Nedap
Wie zich volgens The Guardian mogelijk wel zorgen moeten maken zijn de 5.700 gebruikers van het in 83 landen gebruikte securitymanagementplatform AEOS van Nedap Security Management. Suprema heeft twee maanden geleden op basis van de Bio-API van AEOS een koppeling gebouwd, waarmee Biostar 2 is te integreren in het securitymanagementplatform van Nedap om biometrische toegangsverlening via de cloud mogelijk te maken. Volgens de Zuid-Koreaanse fabrikant wordt daarbij wel gebruik gemaakt van SSL-encryptie, maar of dat op de juiste manier gebeurt, valt te betwijfelen nu de bevindingen van de Israëlische onderzoekers openbaar zijn gemaakt.
Volgens Nedap maakt AEOS echter geen gebruik van de cloud van Suprema, maar van Biostar 2-versies die op de lokale servers van klanten draaien. Daarom hoeven gebruikers van AEOS geen extra maatregelen te treffen om diefstal van biometrische gegevens te voorkomen, aldus de fabrikant uit Groenlo.

Password als wachtwoord
Behalve de ruim een miljoen vingerafdrukken werden in de verkeerd geconfigureerde Elasticsearch-database onversleutelde gegevens gevonden met betrekking tot toegang tot gebouwen, beveiligingsniveaus en autorisaties. In totaal gaat het om 27,8 miljoen bestanden en 23 GB aan data. Beheerders van de database gebruikten wachtwoorden als ‘password’. “Ongelofelijk”, aldus een van de Israëlische onderzoekers. “Op die manier krijgen criminele hackers volledige toegang tot beheerdersaccounts op Biostar 2. Ze kunnen accounts overnemen en accounts toevoegen met volledige gebruikersrechten. Daarmee kunnen zij de beveiligingsinstellingen aanpassen en iedereen toegang verschaffen tot de beveiligde locatie.” Volgens Suprema is het ‘lek’ in de ‘beveiliging’ inmiddels gedicht. Het is niet bekend of kwaadaardige hackers het lek al eerder hadden ontdekt en daar misbruik van hebben gemaakt.