Een database met biometrische gegevens als vingerafdrukken en gezichtsscans van ruim een miljoen mensen was openbaar via internet te benaderen. De gegevens werden verzameld als authenticatiemethode voor bedrijfspanden. Inmiddels is de database offline.

Het lek zit in Biostar-2, een 'webgebaseerd, open en geïntegreerd beveiligingsplatform' waarmee gebruikers zich online kunnen identificeren bij diensten van derde partijen. Het gaat om een gecentraliseerde dienst waarmee naast gebruikersnamen en wachtwoorden ook biometrische gegevens kunnen worden opgeslagen. Die worden door bedrijven gebruikt voor bijvoorbeeld toegang tot panden of faciliteiten. Het platform wordt gemaakt door het bedrijf Suprema, en wordt wereldwijd door 5700 bedrijven in 83 landen gebruikt. Daar zitten ook onder andere de Belgische tak van uitzendbureau Adecco bij. Of er Nederlandse bedrijven zijn die van de Biostar-2-database gebruik maken is niet bekend.

De database werd ontdekt door een team van Israëlische beveiligingsonderzoekers die samenwerkten met VPNmentor, een dienst voor het reviewen van vpn's. Zij deden port scans om openstaande systemen te detecteren en kwamen zo de database tegen. Het gaat om een Elasticsearch-database die normaal niet te benaderen is via url's, maar dat in dit geval toch was. De onderzoekers wisten de url's van de database zo te manipuleren dat zij er informatie uit konden achterhalen.

In die database stonden meer dan 27,.8 miljoen records, met een totale omvang van 23 gigabyte. Die gegevens bestonden naast vingerafdrukken en gezichtsscans ook uit gebruikersnamen en onversleutelde wachtwoorden, logs van toegang tot gebouwen, beveiligingsniveau's van medewerkers en persoonlijke informatie van werknemers. De onderzoekers merken ook op dat de vingerafdrukken in hun geheel werden opgeslagen, in plaats van alleen een hash daarvan. De onderzoekers wisten de informatie niet alleen in te zien, maar ook nieuwe gebruikers toe te voegen en data te wijzigen. Zo konden zij hun eigen vingerafdruk toevoegen aan specifieke gebruikersaccounts.

De onderzoekers ontdekten het lek eerder deze maand en lichtten het bedrijf erachter in. Die heeft nog geen officiële reactie gegeven, maar de database is inmiddels niet meer online te vinden. Daarop besloten de onderzoekers hun bevindingen alsnog te publiceren. Hoe lang de data openbaar te vinden is geweest en of daar misbruik van is gemaakt is niet bekend.