Güney Koreli BioStar 2’de büyük güvenlik açığı

Dünya genelinde bina güvenlik sistemlerine ilişkin milyonlarca kullanıcıya ait bilgileri içeren ve hiçbir güvenlik önlemi olmadan isteyen herkesin erişimine açık olan veri tabanı ortaya çıkarıldı. Türkiye’den bir kuruluşun da bilgilerini içeren 23 Gigabyte’lık veri tabanında şifreler, yüz fotoğrafları, parmak izleri ve daha fazlası var. 

Araştırmacılar yaklaşık 28 milyon kayıt içeren -şifreler, yüz fotoğrafları ve diğer kişisel bilgiler gibi- ve dünya genelinde bina güvenliği için kullanılan bir sisteme ait isteyen herkes tarafından kolaylıkla erişilebilir bir veritabanı ortaya çıkardılar. 

vpnMentor’dan araştırmacılar Çarşamba günü yaptıkları açıklamada veri tabanının internet tabanlı olarak hizmet veren ve Güney Kore menşeli Suprema firmasına ait olan Biostar 2 Güvenlik Sistemi’ne ait olduğunu belirttiler. Biostar depolara, kamu binalarına, şirketlere ve bankalara girişlerde kişinin kimliğini doğrulayabilmek için yüz tanıma ve parmak izini kullanıyor. vpnMentor’a göre söz konusu yazılım aralarında Türkiye’de bulunan ABD, Birleşik Krallık, Endonezya, Hindistan, Sri Lanka gibi onlarca farklı ülkede 1,5 milyondan fazla kuruluma sahip. 

vpnMentor’a göre 23 gigabyte’lık veri tabanı Biostar’ın müşterilerin tesis ve binalarını koruma amacıyla topladığı 27.8 milyon kayda sahip. Tüm dünyanın kolaylıkla erişimine açık olan veri tabanı kullanıcı adları, şifreler, kullanıcı kimliği, bina giriş çıkış kayıtları, çalışanların işe başlama tarihi, kişisel bilgiler, cep telefonu numaraları, yüz fotoğrafları gibi pek çok kişisel veri içeriyor. 

Şifreler İnanılmaz Derecede Basit

vpnMentor

vpnMentor Internet Güvenliği Araştırmacıları Noam Rotem ve Ran Locer’in ifadeleriyle “Bu bilgi sızıntısının en şaşırtıcı yönlerinden birisi de insanların kullandığı şifrelerin ne kadar basit ve güvenliksiz olması.”, “Pek çok hesapta inanılmaz derecede basit şifreler vardı. Örneğin “Şifre” veya “abcd1234” gibi. İnsanların bu basit şifrelerle hacker’ların verilerine ve hesaplarına erişimini ne kadar kolaylaştırdıklarını hala anlamamış olmaları şaşkınlık verici.” diye de ekliyorlar. 

Araştırmacılara göre veri bankası 1 milyondan fazla parmak izi taramasını da içeriyor. Parmak izi ve yüz fotoğraflarının biyometrik veri olarak gerek KVK ve gerekse GDPR kapsamında “özel nitelikli kişisel veri” olarak tanımlandığını ve daha fazla yasal koruma altına alınmış olduğunu da belirtelim. 

Güvenlik uzmanlarının ortak görüşü biyometrik verilerin en iyi saklanma ve aktarılma yönteminin istenmeyen kişilerin müdahalesini engellemek ve veri sızıntısına karşı önlem almak amacıyla önce “hashing” işlemine tabi tutularak okunamaz hale getirilmesi. Söz konusu olayla ilgili en riskli konu paylaşıma ve erişime açık bir halde bırakılan 1 milyon parmak izi kaydı. Zira parmak izi her insana özgün olduğundan doğrudan kişiye erişme olanağı veriyor. Tabii ki bu durum söz konusu güvenlik hizmetinden yararlanan şirket ve kuruluşları da tehdit ediyor zira bu parmak izleri kullanılarak sistem güvenlikleri ihlal edilebilir. Sonuçta şifrelerin aksine parmak izlerini değiştirmek mümkün değil.

VERİLERİ İHLAL EDİLEN KURULUŞLAR

---

Verileri erişime açık bırakılan bazı kuruluşlar ülkelerine göre şunlar:

Türkiye

• OSTİM – Ankara’da bir organize sanayi bölgesi

ABD

• Union Member House – 7000 kullanıcısı olan ortak çalışma alanı ve sosyal kulüp
• Lits Link – Yazılım geliştirme danışmanlığı
• Phoenix Medical – Tıp ürünleri üreticisi

Endonezya

• Uptown – 123 kullanıcısı olan Cakarta’da yerleşik bir ortak çalışma alanı

Hindistan ve Sri Lanka

• Power World Gyms – Her iki ülkeye yayılmış pek çok beden geliştirme salonu olan 113,796 kullanıcısının parmak izleri başta olmak üzere verilerinin bulunduğu üst seviye bir şirket

Birleşik Krallık 

• Associated Polymer Resources– Plastik geri dönüşümü konusunda uzman
• Tile Mountain– Ev dekorasyon ve DIY tedarikçisi 
• Farla Medical– Tıbbi Tedarik mağazası 

Birleşik Arap Emirlikleri

• Global Village – 15.000’den fazla parmak izinin bulunduğu yıllık kültürel festival
• IFFCO – Gıda Grubu

Finlandiya

• Euro Park – Finlandiya genelinde alanlara sahip araç park alanları geliştiricisi

Japonya

• Lab – Tokyo Chiyoda kentinde yerleşik bir ortak çalışma ve tasarı alanı

Belçika

• Adeco Staffing – İnsan Kaynakları konusunda dev bir firma. 2.000’den fazla parmak izi açığa çıkmış

Almanya

• Identbase – ticari kimlik ve girişi kartları teknolojisi üzerinde çalışan bu firmaya ait verilerde açığa çıkan veri tabanında bulunuyor. 

Araştırmacılar bu büyük açığı, benzer IP bloklarını açıklamak için taradıkları bir internet haritalandırma projesi sırasında fark ettiklerini açıklıyorlar. 

“Ekip Biostar 2’nin veri tabanının çok büyük bölümünün korunmasız olduğunu ve kriptolanmadığını fark etti.” diyen araştırmacılar “Şirket Elasticsearch veri tabanı kullanıyor ki bu aslında URL kullanımı için tasarlanmış bir veri tabanı değil. Yine de veriye internet tarayıcımızdan ulaşmayı ve URL arama kriterlerini manipüle ederek inanılmaz büyüklükte veriye ulaşmayı başardık.” diye ekliyorlar. 

vpnMentor’a göre Suprema’nın sistemi sadece verileri isteyen herkesin erişimine açmıyor aynı zamanda veri eklenmesine, silinmesine veya düzeltilmesine de izin veriyor. Bu aynı zamanda hizmetten yararlanan kuruluşların veri tabanına yetkisiz kişilerin eklenmesi yöntemi ile bina ve tesislerin güvenliğinin ihlal edilebileceği anlamına da Sgeliyor. Kimlik hırsızlığı, phishing saldıraları, şantaj ve para sızdırma gibi ihtimaller de cabası. 

vpnMentor veri tabanını 5 Ağustos tarihinde fark edip, iki gün sonra ilgili firmayı uyardıklarını belirtiyorlar. Sistem bir sonraki altı gün boyunca koruma altına alınmadan açık kalmış. Suprema yetkilileri konu hakkında görüşlerine başvurma isteğimize herhangi bir cevap vermediler. 

Haber Yazarı: Dan Goodin

Tercüme: Melih R. Çalıkoğlu

İlk Yayın Tarihi: 14 Ağustos 2019

Kaynak: arstechnica.com