Väidetav sõrmejälgede leke Suprema BioStar 2 lahenduses
13. augustil 2019 tuli uudis lekkinud sõrmejälgede kohta biomeetriliste seadmete ja tarkvara lahenduses Suprema BioStar 2. Oleme kursis antud nö andmelekke uudisega ning anname käesolevaga teada, mis reaalselt juhtus ning kas on põhjust muretsemiseks.
Eelnimetatud „andmelekke“ avastas turvaauke uuriv ettevõte VPN Mentor, kes teeb põhjalikke uuringuid tuvastamaks mistahes teenuste ja portaalide turvaakue. Antud BioStar 2 CLOUD turvaaugu avastamise järgselt teavitati Suprema Inc osapooli, kus võeti vastu vastavad meetmed ning turvaauk sai viivitamatult suletud.
Turvaaugu sulgemise järgselt avaldas VPN Mentor juhtunu kohase aruande oma blogis nagu nad on seda teinud ka muude avastatud turvaaukude korral. VPN Mentor eesmärk on avastada turvaauke, selle kohta raporteid koostada ning aktiivselt rõhutada kogutud andmete turvalisuse tagamise olulisust. Tegemist polnud andmete lekkega vaid turvaaugu avastamisega, mille kaudu võis aset leida võimalik andmete leke. Esmase uurimistöö põhjal aga leket ei toimunud ja käib edasine töö välja selgitamaks, kas andmed võisid siiski ka reaalselt lekkida.
Senise uurimistöö järgi on teada, et BioStar 2 lahenduse andmeleke küsimus puudutab limiteeritult ainult neid kliente ja lahendusi, kes kasutavad BioStar 2 CLOUD-teenust. Kliente, kelle lahendus on seadistatud lokaalselt ilma CLOUD-funktsioonita (s.h need kellel puudub BioStar 2 AC litsents või kõrgem), see teema ei puuduta.
Suprema esmase uurimistöö andmetel puudutab see CLOUD-teenust kasutatavaid kliente oluliselt vähem, kui avalikkus seda arvab ja VPN Mentori blogi tõlgendab. Suprema jätkab antud turvaaugu ja võimalike lõppklientide väljaselgitamisega, keda see intsident puudutab. Senise info põhjal on teada, et sarnast andmetele ligipääsetavust pole eelnevalt, turvaaugu avastamise ajal ega ka selle järgselt olnud.
Toome täiendavalt välja, et Suprema BioStar 2 biomeetriline lahendus ei salvesta serverisse ega seadmesse sõrmejälge ega sõrmejälje kujutist. Serverisse ja seadmesse (vastavalt seadistusele) salvestatakse reaalselt biomeetrialt genereeritud mall, mis on omakorda krüpteeritud. Sõrmejälje malliga, milleks on automaatselt loodud unikaalne numbrijada, pole võimalik tagantjärgi genereerida registreerimisel kasutatud biomeetriat. Seega sõrmejälgi süsteemist kätte pole kunagi võimalik saada.
BioStar 2 CLOUD-teenus on võimalik seadistada neil, kellel on olemas BioStar 2 Access Control Standard litsents või kõrgem tase (välja lastud alates 2018.a. kevad) või BioStar 2 SE litsents, mis on hangitud enne 2018 aastat. CLOUD-teenuse kasutamine on vajalik 3ndate osapoolte arenduste kasutamiseks API serveriga ja BioStar 2 mobiiliäpi kasutamiseks ning tarkvarasse logimiseks ja haldamiseks väljaspool kohalikku võrku.
Senise info põhjal on tootja seisukohal, et andmeleke aset ei leidnud ning seonduvalt turvaaugu avastamisega on antud soovitus igaks juhuks muuta ära paroolid ning edaspidigi teha seda regulaarselt.
Lisame kaasa ka Suprema esmase ametliku avalduse juhtunu kohta.
Rohkem infot:
Rainer Saaron
Hansab AS müügi- ja turundusdirektor
tel: 605 9816
e-post: rainer.saaron@hansab.ee
