London, Cyberthreat.id - Sebuah kebocoran data mengekspos jutaan catatan biometrik terjadi di Inggris baru-baru ini. Kebocoran dianggap serius karena data Biometrik yang bocor digunakan oleh banyak pihak seperti aparat penegak hukum, lembaga keuangan, kontraktor pertahanan hingga korporasi.

Peneliti cybersecurity, vpnMentor, yang dipimpin Noam Rotem dan Ran Locar, menyebutkan informasi tersebut bocor dari database yang terhubung ke platform keamanan Biostar 2 Suprema.

Biostar 2 menyebut dirinya sebagai platform keamanan terintegrasi berbasis web yang "menyediakan fungsionalitas komprehensif untuk kontrol akses dan waktu & kehadiran" melalui kerangka kerja modular.

Simpelnya, ini seperti absen yang mengumpulkan data Biometrik seperti sidik jari, pengenalan wajah dan data Biometrik lainnya. Fungsinya termasuk catatan log aktivitas, akses jarak jauh, dan integrasi dengan aplikasi pihak ketiga.

Biostar 2 Suprema terintegrasi dengan sistem kontrol akses AEOS Nedap, yang digunakan oleh hampir 6 ribu organisasi di seluruh dunia termasuk perusahaan, UKM, pemerintah, bank dan Kepolisian Metropolitan Inggris.

Menurut Rotem dan Locar, "sebagian besar database Biostar 2 tidak terlindungi dan sebagian besar tidak terenkripsi."

"Database Elasticsearch yang digunakan biasanya tidak dirancang dengan mempertimbangkan URL, tetapi tim kami dapat mengakses database melalui browser dan melakukan pencarian informasi yang beberapa sudah terbuka (di internet)," kata Rotem dan Locar.

Data bocor lebih dari 27,8 juta catatan atau sekitar 23GB data. Di antara informasi yang bocor adalah lebih dari 10 juta catatan sidik jari, gambar pengguna dan data pengenal wajah yang ditautkan, catatan masuk ke area aman, informasi karyawan, tingkat keamanan dan izin pengguna, detail pribadi staf - seperti email dan alamat rumah - hingga catatan yang ada di ponsel.

Database itu juga membocorkan plaintext, kredensial akses tidak terenkripsi milik karyawan, yang menurut peneliti keamanan siber dapat digunakan oleh penyerang untuk mendapatkan akses tidak sah ke fasilitas/sistem lain.

Banyak kredensial akun menggunakan kata sandi sederhana, seperti "password" atau "abcd1234," yang seharusnya tidak pernah diizinkan untuk dibuat di tempat pertama - dan tentu saja hal seperti ini harus dilarang keras oleh platform keamanan.

vpnMentor mengatakan klien yang terlibat dalam penyimpangan keamanan di Biostar 2 termasuk perusahaan rekanan mereka di AS, India dan Sri Lanka; sebuah perusahaan medis di Inggris, produsen alat medis tradisional di Tiongkok, penyelenggara festival/EO hingga perusahaan SDM.

Kebocoran ini adalah masalah sangat serius karena informasi Biometrik tidak dapat diubah dengan cara yang simpel seperti nomor kartu kredit. Sekali bocor lalu berhasil dikompromikan, tidak ada jalan untuk kembali.

Selain itu, potensi pengambilalihan akun dan kemampuan untuk menambahkan sidik jari maupun gambar ke akun penting yang bertujuan merusak fasilitas/sistem membuat kebocoran data ini dianggap mengkhawatirkan.

"Peretas dapat mengubah sidik jari akun yang ada menjadi milik mereka dan membajak akun pengguna untuk mengakses area/sistem terlarang tanpa terdeteksi," kata para peneliti.

"Peretas dan penjahat lain berpotensi membuat perpustakaan sidik jari untuk digunakan kapan saja mereka ingin masuk ke suatu tempat tanpa terdeteksi."