شناسایی یک نقض داده مهم در سیستم‌ بیومتریک مورد استفاده در بانک‌ها، اداره پلیس بریتانیا و شرکت‌های حفاظتی دولتی

نویسنده: ثنا جهاندار در تاریخ 27 مرداد سال 1398 ساعت 15:40 0

طی بروز نقض داده در سیستم بیومتریک شرکتی به نام بیواستار 2، اطلاعات تشخیص چهره، گذرواژه‌ها، نام‌های کاربری رمزگذاری نشده، اطلاعات شخصی کارمندان و اثر انگشت بالغ بر یک میلیون نفر در یک پایگاه داده‌ عمومی در دسترس همگان قرار گرفت. شرکت مذکور به پلیس کلانشهر لندن، پیمانکاران حفاظتی دولتی و بانک‌ها خدمت‌رسانی می‌کند.

سوپرما، نام یک شرکت ارائه دهنده خدمات امنیتی است که سیستم قفل بیومتریک مبتنی بر وب بیواستار 2 را مدیریت می‌کند. این سیستم امکان نظارت متمرکز بر مکان‌های امنیتی مانند انبارها و ساختمان‌های اداری را فراهم می‌کند. بیواستار 2 از داده‌های اثرانگشت و تشخیص چهره به عنوان ابزاری برای شناسایی هویت افرادی که قصد دسترسی به ساختمان را دارند، استفاده می‌کند.

در ماه گذشته، سوپرما اعلام کرد که پلتفرم بیواستار 2 با یک سیستم کنترل دسترسی دیگر به نام ای‌ای‌او‌اس ادغام شده است. 5700 سازمان در 83 کشور جهان از خدمات ای‌ای‌او‌اس استفاده می‌کنند. نام دولت‌ها، بانک‌ها و پلیس کلانشهر لندن نیز در بین این سازمان‌ها به چشم می‌خورد.

شرکتی به نام وی‌پی‌ان‌منتور سرویس‌های شبکه مجازی خصوصی را مورد مطالعه قرار می‌دهد. دو محقق اسرائیلی حوزه امنیت، به نام‌های نوآم روتم و ران لوکار که در این شرکت مشغول به کار هستند، به عنوان بخشی از پروژه‌های خود، تصمیم گرفتند به بررسی پورت‌ها پرداخته و بلوک‌های IP آشنا را پیدا کنند. آن‌ها در گام بعدی با استفاده از این بلوک‌ها، شکاف‌های موجود در سیستم‌های شرکت‌ها را شناسایی کرده و از این طریق، به تشخیص نقض‌های داده‌ احتمالی پرداختند.

چند روز پیش، این دو محقق دریافتند که پایگاه داده بیواستار 2 مورد محافظت قرار نگرفته و در بخش‌های عمده‌ای از آن عملیات رمزگذاری پیاده‌سازی نشده است. آن‌ها با دستکاری ضوابط جستجوی URL در الاستیک‌سرچ، توانستند به داده‌ها دسترسی پیدا کنند.

محققان مذکور به 27.8 میلیون داده ثبت شده و پایگاه داده‌ای با حجم 23 گیگابایت دسترسی پیدا کردند. در بین این داده‌ها، پنل‌های مدیریتی، داشبوردها، اثرانگشت، اطلاعات مربوط به تشخیص چهره، تصاویر صورت کاربران، گذرواژه‌ها و نام‌های کاربری رمزگذاری نشده، لاگ‌های دسترسی به امکانات، لایه‌ها و مجوزهای امنیتی و اطلاعات شخصی کارمندان شرکت دیده می‌شوند.

روتم در گفتگو با گاردین اعلام کرد که بخش عمده‌ای از این گذرواژه‌ها و نام‌های کاربری رمزگذاری نشده بودند.

او گفت: «ما توانستیم متن‌ ساده گذرواژه‌های مربوط به حساب‌های مدیریتی را پیدا کنیم. همچنین مشاهده کردیم که میلیون‌ها کاربر با استفاده از این سیستم به مکان‌های مختلف دسترسی پیدا می‌کنند. امکان مشاهده آنی ورود کاربران به ساختمان‌ها و اتاق‌ها نیز برایمان مهیا بود.»

وی افزود: «ما حتی این قابلیت را داشتیم که داده‌ها را تغییر داده و کاربران جدیدی را به سیستم اضافه کنیم.»

این امر بدین معناست که روتم می‌توانست حساب کاربران فعلی را ادیت کرده و اثرانگشت خودش را به آن‌ها اضافه کند. در نتیجه امکان ورود به تمامی ساختمان‌هایی که کاربر مذکور مجوز ورود به آن‌ها را داشت، برای او نیز فراهم می‌شد. وی همچنین می‌توانست تصویر و اثرانگشت خودش را به عنوان کاربر جدید به سیستم وارد کند.

در گزارشی که وی‌پی‌ان‌منتور در مورد این نقض داده تهیه کرده و به گاردین ارسال کرده، عنوان شده که محققان این شرکت با استفاده از پایگاه داده کشف شده می‌توانستند به اطلاعات سازمان‌های مشارکتی در ایالات متحده و اندونزی، یک باشگاه زنجیره‌ای در هند و سریلانکا، یک تامین کننده مواد دارویی در بریتانیا، یک توسعه دهنده فضای پارک خودرو در فنلاند و دیگر سازمان‌ها دسترسی پیدا کنند.

محققان وی‌پی‌ان‌منتور اعلام کردند که مقیاس این نقض داده در سیستم بیومتریک بسیار بزرگ و نگران کننده است. بیواستار 2 به 1.5 میلیون مرکز مختلف در سراسر جهان خدمت‌رسانی می‌کند و بر خلاف لو رفتن رمزهای عبور که قابل تغییر دادن هستند، در صورت افشا شدن اثرانگشت کاربران، نمی‌توان آن‌ها را تغییر داد.

محققان مذکور در این گزارش بیان کردند: «بیواستار 2 به جای این‌که هش اثرانگشت افراد را ذخیره کند، اثرانگشت واقعی آن‌ها را ثبت کرده است. دسترسی به هش‌ از طریق مهندسی معکوس امکان‌پذیر نیست، ولی اثرانگشت را می‌توان برای مقاصد مخرب کپی کرد و مورد سوءاستفاده قرار داد.»

محققان پیش از آن‌که گزارش این نقض داده در سیستم بیومتریک را به گاردین ارسال کنند، چندین بار تلاش کردند تا با سوپرما ارتباط برقرار کنند. در اوایل صبح چهارشنبه به وقت استرالیا، این نقطه آسیب‌پذیری برطرف شد، ولی این شرکت امنیتی هنوز به پیام‌های محققان پاسخی نداده است.

اندی آن، مدیر بخش بازاریابی سوپرما در گفتگو با گاردین عنوان کرد که این شرکت، ارزیابی‌های دقیقی را در مورد اطلاعات کشف شده توسط وی‌پی‌ان‌منتور انجام داده و اگر خطری مشتریان را تهدید کند، به آن‌ها اطلاع‌رسانی خواهد کرد.

آن افزود:

اگر خطری جدی محصولات و خدمات ما را تهدید کند، ما فورا اقدام می‌کنیم و در حمایت از کسب‌وکارها و دارایی‌های ارزشمند مشتریانمان، بیانیه‌های مناسبی را منتشر می‌کنیم.

روتم گفت که نقض داده‌های سوپرما، نادر نیست و پیش‌تر نیز موارد مشابهی دیده شده است.

وی اظهار داشت: «نقض داده امری بسیار معمول است. میلیون‌ها سیستم باز وجود دارند و محافظت از آن‌ها کاری دشوار و کسل‌کننده است. برخی از این سیستم‌ها به شدت حساس هستند.»

او ادامه داد: «وجود آسیب‌پذیری در زنجیره تامین شرکت‌هایی که از خدمات سازمان‌های ثالث با سطح امنیتی پایین استفاده می‌کردند، متداول بود؛ ولی دیده شده که برخی از نقاط آسیب‌پذیری به شرکت‌هایی مربوط می‌شود که در فهرست 500 شرکت برتر فورچون قرار دارند.»

روتم گفت که هر هفته، سه الی چهار تماس از شرکت‌هایی دریافت می‌کند که با مشکل مشابهی مواجه هستند. وی اشاره کرد که در اوایل سال جاری، یک رخنه اساسی در سیستم رزرو پرواز آمادئوس شناسایی شده بود.

او در انتها عنوان کرد: «رخ دادن اشتباه طبیعی است، نکته مهم اینجاست که چگونه این اشتباهات را مدیریت کنیم. اگر شما یک تیم امنیتی دارید که خیلی سریع به مشکلات واکنش نشان می‌دهد، خیلی عالی است، ولی اگر تیم امنیتی شما برای ترساندن شما از تیم حقوقی استفاده می‌کند، کارایی چندانی نخواهد داشت.»

«نقض داده موردی است که خیلی زیاد اتفاق می‌افتد. برای ما ناخوشایند است که به شرکتی اطلاع دهیم در سیستم آن‌ها آسیب‌پذیری و ضعف وجود دارد. برخی از شرکت‌ها از این موضوع به عنوان فرصتی استفاده می‌کنند تا سیستم خود را تقویت کنند، ولی برخی دیگر از شرکت‌ها ناراحت می‌شوند.»

منبع: گاردین