I såväl varuhus som kontorsbyggnader kan fingeravtryck och ansiktsigenkänning användas för att identifiera personer som fått tillträde dit. Ett av de system som hanterar biometrisk data är Biostar 2, som ägs av företaget Suprema. Det webbaserade systemet används exempelvis av Londonpolisen, banker och aktörer inom försvaret.
Förra veckan upptäckte två israeliska säkerhetsforskare, Noam Rotem och Ran Locar, att Biostar 2:s databas var oskyddad och till stor del okrypterad. Det skriver brittiska The Guardian. Fingeravtryck, information om ansiktsigenkänning och annan känslig data – om över en miljon människor – låg därmed öppet för allmänheten.
– Vi hittade okrypterade lösenord för administartörskonton, säger Noam Rotem till The Guardian, och menar att de även kunde ändra data och lägga till nya användare.
Ett längre inlägg om bristerna har publicerats på tjänsten Vpnmentor.
Från Sri Lanka till Finland
Forskarna ska ha försökt kontakta Suprema, utan att få svar. Under onsdagen åtgärdades dock bristen, lite mer än en vecka efter att forskarna varnat Suprema om läckan.
Supremas marknadsansvarige Andy Ahn säger till The Guardian att företaget har inlett en ”djupgående utvärdering” och att de, om man upptäcker att det funnits något hot, kommer att informera de kunder som drabbats.
Forskarna menar att bristen hos databasen är alarmerande eftersom tjänsten återfinns på 1,5 miljoner platser runt om i världen. De hävdar att de fått tillgång till data från bland annat en gymkedja i Indien och Sri Lanka och ett parkeringsbolag i Finland.
”Väldigt vanligt”
Samtidigt menar forskarna att problemet inte är unikt för Suprema.
– Det är väldigt vanligt. Det finns miljontals öppna system, och att gå igenom dem är en väldigt omständlig process, säger Noam Rotem till The Guardian och menar att vissa av de här systemen är rätt så känsliga.
SVT Nyheter inväntar svar från Myndigheten för samhällsskydd och beredskap om huruvida svenska aktörer har drabbats av läckan.