Digiturvatulkki

takaisin etusivulle

Turvajärjestelmän tietokanta olikin mätä – mm. miljoonan ihmisen sormenjäljet levällään netissä

Tulkkaamme caseja, joissa digiturva on syystä tai toisesta pettänyt.
Tulkkaamme ilmiöitä, jotka vaikuttavat digiturvan toteuttamiseen.
Tulkkaamme teknologiauutisia, joilla on vaikutuksia digiturvaan.
case
ilmiö
teknologia
tietoturvaloukkaus
salasanahallinta
biometrinen tunnistautuminen

Tulkattava artikkeli

Viitattu
16.8.2019
osoitteessa
https://www.mikrobitti.fi/uutiset/mb/dd664ea7-1a3e-40ab-9b3c-12bad4a11f97?ref=ampparit:1f05
VpnMentor julkaisi raportin Biostar 2:een liittyvästä tietovuodosta. Tietokantaan oli säilötty laajasti erilaisia tietoja – kuten käyttäjätunnuksia, salasanoja ja monia muita tietoja. Yli miljoonan ihmisen sormenjälki- ja kasvotiedot löytyivät tietokannasta. Sormenjälki- tai kasvotietojen vuotaminen on vakava ongelma, sillä niitä ei voi vaihtaa samalla tavalla kuin salasanan. Biostar 2 integroitiin hiljattain AEOS-järjestelmään, jota käyttää yli 5700 eri organisaatiota 83 eri maassa. AEOS:in käyttäjiin kuuluu niin pieniä yrityksiä, pankkeja kuin esimerkiksi Suur-Lontoon poliisi.
Lue koko alkuperäinen artikkeli

Tiivistelmä

eli avainasiat yläpuolen artikkelista
Kulunvalvontajärjestelmä Biostar 2:n tietokanta paljastui salaamattomana ja suojaamattomana verkosta, sisältäen sormenjälkiä, kasvotunnisteita ja muita kirjautumistietoja miljoonilta ihmisiltä. Yhtiö itse on ollut haluton ilmoittamaan ja kommentoimaan asiaa.

Tulkin kommentit

Tiivistämme uutisten ydinsisällön ja opetukset selkokielellä.

Salasanat voivat olla hankalia käyttää ja muistaa. Moni kaipailee tähän helpotukseksi biometristä tunnistamista. Sormenjälki- tai kasvotunnistus alkavat olla yleisiä ominaisuuksia mm. uusimmissa puhelimissa.

Kuten tästä uutisesta voidaan päätellä, salasanoilla on kuitenkin hyvät puolensa. Salasanan voi päivittää ja se voi mahdollistaa pääsyn ainoastaan yhteen paikkaan. Sormenjälkeä tai iiriskuvaa ei resetoida.

Meidän pitäisi vähintäänkin miettiä, millaisia käytäntöjä vaadimme organisaatiolta, jonka haltuun biometristä tietoa annamme? Jos puhelin, pankki, viranomainen, kuntosali ja milloin mikäkin palveluntarjoaja haluavat sormenjälkitietomme käyttöön, riski kasvaa kokoajan, että joku niin sanotusti "ryssii homman".

Mikä meni pieleen?
Salaamattomia sormenjälkiä ja kasvotunnistekuvia tietokannassa

Tällaiset tiedot tulisi ehdottomasti säilöä salattuna versiona, joita ei voi palauttaa alkuperäiseen muotoon, mutta voi käyttää tunnistamisessa hyväksi.

Tietokanta salaamattomana verkossa

Kyseessä on ollut joko törkeä tiedottomuus tai yleinen digiturvatyön ongelma, eli vastuun putoaminen ihmisten väliin selkeän suunnitelman puuttuessa.

Kokonaisuudessaan vuoti lähes 28 miljoonaa asiakirjaa

Mukana oli mijoona sormenjälkeä, mutta jokaista näistä muistakin henkilötiedoista voidaan käyttää identiteettivarkauksiin, phishing-huijauksiin ja muuhun haittaan. Iso määrä ihmisiä voi kokea haittaa.

Kuinka vältät vastaavan?
Huomioita ja vinkkejä
Mikä on oikea tunnistautumistapa?

Olisiko helpompaa esimerkiksi käyttää kahta hieman pienemmän riskin tunnistautumistapaa, kuten salasanaa ja tekstiviestivahvistusta? Tai salasanaa ja erillistä authenticator-sovellusta? Vai pitäisikö varmistaa sormenjäljen lisäksi tunnistautumista vaikka avainkortilla? Tällaisten tietovuotojen riskit ovat selvästi pienemmät, mikäli yhden salasanan, avainkortin tai biometrisen tiedon vaarantuminen ei mahdollista luvatonta pääsyä.

Mieti keneen luotat - eli kenelle luovutat biometrisiä tietoja

Esimerkiksi hyvät salasanahallinnan ohjelmistot kertovat avoimesti, miten käyttäjien arvokkaiden salasanatietojen säilytys ja suojaus on yleisellä tasolla hoidettu. Kertoiko tämä yritys turvallisuuskäytännöistään? 

Supremainc.com-sivustolla ja brosyyreissä on kyllä paljon ominaisuuskuvausta, mutta tulkki ei onnistunut löytämään mitään tietoa digiturvasta.

Vuotaneet salasanat jälleen osin luokattoman huonoja

Lue lisää hyvistä salasanakäytännöistä.

Onko tietoja vuotanut Biostar 2 -järjestelmä teillä käytössä?

Järjestelmää on tiedetysti käytössä myös suomalaisissa organisaatioissa. Kannattaa varmasti vähintään päivittää salasanat ja muut tunnisteet, joilla palvelua käytetään.

case
ilmiö
teknologia
tietoturvaloukkaus
salasanahallinta
biometrinen tunnistautuminen