15.08.2019, 17:05

Jälle massiline andmeleke: Vähemalt miljon sõrmejälge võrgus ripakil

Uku Tampere

forte.ee toimetaja

Üle miljoni sõrmejälje andmed lekkisid internetti

FOTO: PA Wire/PA Images Yui Mok

Üle miljoni kasutaja sõrmejäljed ning muidki tundliku iseloomuga andmeid on lekkinud internetti biomeetrilist tuvastust pakkuvast Biostari tarkvarast.

Biomeetrilise informatsiooniga mobiiltelefonide avamine on juba üsna igapäevane, aga biomeetria abil isiku tuvastamine on kasutusel ka uuemates passides ning näiteks piirikontrollis.

Biomeetriat on hakatud kasutama kasutajate tuvastamiseks eelkõige seetõttu, et see on (justkui) teistest lahendustest turvalisem. Kui näiteks telefoni kasutaja soovib oma seadet sõrmepuudutusega avada, vastandatakse tema sõrm varem salvestatud kujutisega ning ühegi muu sõrmega seda avada ei saa - pilt on niivõrd individuaalne.

Sõrmejälge võib väikese mööndusega arvuti jaoks pidada pikaks, kuid raskesti muudetavaks parooliks, kirjutas TTÜ magistrant Priit Pekarev.

Uuringud on öelnud, et biomeetriliste tunnuste kasutamine iseenesest ei taga suuremat turvalisust, sest paljusid biomeetrilisi andmeid saab koguda ilma asjaomase isiku teadmata ning biomeetriline parool ehk sõrmejälg võib sattuda valedesse kätesse.

Ning veel üks aspekt - kui turvalisuse tagamiseks soovitatakse oma PIN-koode või muid paroole vahetada näiteks kord aastas, siis biomeetriaga nii toimida ei saa – selle vahetamise võimalused füüsiliselt piiratud.

Kui märulifilmides raiutakse maha sõrm, et selle jäljega uksi avada, siis reaalses maailmas on lihtsam viis, mille taga reaalsem risk - kõik biomeetrilised andmed on salvestatud kusagil andmebaasis ning nagu me praktikast teame, võib andmebaaside sisu kellegi vea või häkkerite kaudu ka valedese kätesse jõuda - andmelekke uudised ei ole sugugi harvad.

Just see nüüd juhtuski

30 miljonit ühikut tundlikke andmeid oli võrgus ja kaitsmata: küberturvalisusega tegeleva ettevõtte VPNMentor uurijad teatasid, et neil õnnestus pääseda ligi Biostar 2 nimelisue turvalisuse tööriista andmetele.

Seda süsteemi kasutavad tuhanded ettevõtted üle kogu maailma, sealhulgas Brittide Metropolitan Police, et kontrollida juurdepääsu erinevatele (juurdepääsupiiranguga) kohtadele.

Biostari taga olev ettevõte teatas The Guardianile, et kui on kindel oht, siis nad tegelevad sellega kindlasti, vahendas BBC. VPNMentor teatas, et see informatsioon, millele nad 5. augustil ligi pääsesid, muudeti privaatseks taas 13. augustil. Ehk siis praeguseks on turvaauk kinni pandud, aga pole täpselt teada, kui pikka aega juurdepääs nendele andmetele olemas oli.

Lisaks salvestatud sõrmejälgede andmetele oli samas "kohas" ka inimeste pilte, näotuvastussüsteemi andmeid, nimed, aadressid, paroolid, töötamise ajalugu ning lisaks ka logitud informatsioon selle kohta, millal nad olid biomeetriaga kaitstud aladesse sisenenud.

Seoses andmelekke uudise avalikuks tulemisega on nüüd küsitud, et mis on tegelik andmelekke ulatus ja kui paljud sõrmejälgede andmed on päriselt ripakil olnud.

Kuigi inimeste sõrmejäljed võivad ajaga natuke muutuda, on see põhimõtteliselt siiski muutumatu informatsioon ning peamine probleem sellise andmelekke puhul ongi see, et "paroolivahetus" ei ole sisuliset võimalik. Teisisõnu, kord lekkinud andmeid ei saa enam kuidagi tagasi turvaliseks muuta.

Kokku oli võrgus ripakil 23 Gb informatsiooni üle 30 miljoni kirjega. Kui see informatsioon sattus pahadesse kätesse, võib andmeid kasutada terve nimekirja kuritegude toime panemiseks ja tagajärjed võivad olla katastroofilised.

VPNMentori postitust andmelekke kohta võib lugeda SIIT.

Kommenteeri Loe kommentaare