Een omvangrijke databank met zowat een miljoen vingerafdrukken en andere biometrische gegevens was zo goed als onbeschermd en onversleuteld op het internet terug te vinden. De databank was afkomstig van een toegangscontrolesysteem dat door diverse organisaties gebruikt wordt, onder meer door de Belgische tak van uitzendbureau Adecco. Dat hebben analysten van het Israëlische beveilingsbedrijf vpnMentor ontdekt. Ze wijzen er ook op dat dergelijke informatie, in tegenstelling tot bijvoorbeeld wachtwoorden, niet meer kan veranderd worden.
De gegevens zijn afkomstig van het systeem ‘Biostar 2′ van de Zuid-Koreaanse firma Suprema, in Europa de marktleider voor toegangscontrolesystemen op basis van biometrische data. Met Biostar 2 kunnen vingerafdrukken of gezichtsscans via een webgebaseerd platform als sleutel gebruikt worden. AEOS, een toegangscontrolesysteem waarin Biostar 2 geïntegreerd zit, wordt gebruikt door 5.700 organisaties in 83 landen, waaronder overheden, banken en de Britse politie.
De Israëliërs noemen ook Adecco België als een van de bedrijven tot wiens data ze toegang hadden. Ze vonden ongeveer 2.000 vingerafdrukken die verbonden zijn aan de Belgische tak van het uitzendbureau. Adecco Belgium werkt al 1,5 jaar met Biostar 2 voor het toegangscontrolesysteem van de eigen gebouwen.
De onderzoekers stelden vast dat het mogelijk is om volledige controle over de accounts in het systeem te krijgen. De onderzoekers hadden toegang tot meer dan 27,8 miljoen datasets en 23 gigabyte aan gegevens, waaronder vingerafdruk- en gezichtsherkenningsdata, gezichtsfoto’s van gebruikers, niet-gecodeerde gebruikersnamen en wachtwoorden en ook persoonlijke gegevens van personeelsleden. De biometrische gegevens waren volgens de onderzoekers in hun geheel opgeslagen, zonder hash. Bovendien konden de gegevens gemanipuleerd worden. De onderzoekers konden bijvoorbeeld iemands vingerafdruk vervangen door hun eigen vingerafdruk.