目录:
你需要知道什么
- 两名以色列安全研究人员发现了一个未加密的Biostar 2数据库,其数据量为23GB
- 数据中包括超过100万人的指纹,面部扫描,用户名,密码和其他个人信息。
- 该漏洞现已关闭,该公司正在对信息进行深入评估。
上周,以色列安全研究人员Noam Rotem和Ran Locar在网上发现了一个大部分未加密的可公开访问的Biostar 2数据库。 该数据库包括超过100万人的指纹,面部扫描,用户名和密码以及个人信息。
Biostar 2是由安全公司Suprema开发的生物识别锁定系统,它与AEOS门禁系统集成。 AEOS恰好在全球83个国家和5, 700个组织中使用,包括政府,银行和英国大都会警察局。
Rotem和Locar在与vpnmentor的侧面项目期间发生在这个数据库上,他们扫描“寻找熟悉的IP块的端口,然后使用这些块来找到公司系统中可能导致数据泄露的漏洞。”
在他们找到Biostar 2的数据库后,他们能够搜索数据库并操纵URL以获取对数据的访问权限。
研究人员可以访问超过2780万条记录和23千兆字节的数据,包括管理面板,仪表板,指纹数据,面部识别数据,用户面部照片,未加密的用户名和密码,设施访问日志,安全级别和许可,和员工的个人详细信息。
Rotem对卫报说,大多数用户名和密码都是未加密的,他们还可以更改数据并将新用户添加到系统中。
研究人员表示,他们能够访问美国和印度尼西亚的联合工作组织,这是印度和巴基斯坦的一家健身连锁企业,这是一家医药供应商。英国,以及芬兰的停车场开发商等。
是什么让这更加危险,研究人员指出数据库包含了人们的指纹。 这意味着指纹可以被其他人复制和使用,而不是存储无法逆向工程的指纹散列。
Rotem和Locar多次尝试联系Suprema,然后在上周末向卫报发送论文,截至周三早上,该漏洞已得到修复。 Suprema营销负责人Andy Ahn告诉卫报,该公司正在对信息进行“深入评估”,并且:
如果对我们的产品和/或服务有任何明确的威胁,我们将立即采取行动并做出适当的公告,以保护我们客户的宝贵业务和资产。
我们都看过有关安全漏洞的新闻报道,而且很可能你曾经是其中之一的受害者。 它通常要求您更改密码,但是当涉及到生物识别数据时,您不能只是更改指纹或面部。
Galaxy S10的脸部识别有多安全?
