向公众披露数百万生物识别记录的数据泄漏可以追溯到执法部门、金融机构、国防承包商和企业公司使用的一家公司。
周三,由Noam Rotem和Ran Locar领导的vpnMentor网络安全研究人员表示,这些信息是从一个与Suprema的Biostar 2安全平台相关的数据库中泄露出来的。
该供应商将BioStar 2描述为一个基于web的集成安全平台,该平台通过模块化框架“为访问控制和时间和考勤提供全面的功能”。
功能包括活动日志记录、远程访问和与第三方应用程序的集成。用户通过面部识别技术和指纹识别。
Suprema公司的Biostar 2最近与Nedap的AEOS访问控制系统集成在一起,该系统被全世界近6000家组织使用,其中包括企业、中小企业、政府、银行和英国大都会警察局。
根据ROTEM和LOCAAR,"Biostar2的庞大部分不受保护,大部分是未加密的。"
一个Elasticearch数据库正在使用中,该数据库的设计通常不考虑URL,但该团队能够通过浏览器访问数据库,并对公开的信息执行搜索。
数据泄露超过2780万条记录,约占23 GB的数据。泄露的信息包括100多万份指纹记录、用户图像和链接的面部识别数据、进入安全区域的记录、雇员信息、用户安全级别和许可、工作人员的个人信息--例如他们的电子邮件和家庭地址--以及移动设备记录。
此外,该数据库泄露了属于雇员的未经加密的访问凭据,网络安全研究人员表示,攻击者可以利用这些证书获得对安全设施的未经授权访问。
许多帐户凭证使用简单的密码,如“密码”或“abc d 1234”,这些密码从一开始就不应该被允许创建--当然也不应该由安全平台创建。
vpnMentor表示,参与此次安全事故的客户包括美国、印度和斯里兰卡的合作公司、英国的一家医疗公司、DIY供应商、中国传统医药供应商、节日组织者和人力资源公司等。
这种性质的泄漏是一件严重的事情。生物识别信息不能像信用卡号码那样被改变,一旦被泄露,就不能回头了。此外,账户接管潜力和可能向账户添加指纹和图像以篡改安全设施的能力应被视为令人担忧。
"黑客可以将现有帐户的指纹改变为自己的帐户,并劫持用户帐户以访问未检测到的受限区域,"说."黑客和其他罪犯可能在他们想要进入某处而不被检测到的任何时候创建要使用的指纹库。".
TechRepublic:如何去除Android设备上的Google密码
vpnMentor说,在发现后两天,也就是8月7日,该公司“在整个过程中普遍非常不合作”。
电子邮件失败了,打了电话,研究人员也挂断了电话,在一个案例中,给出的答复是:“我们不和vpnMentor通话。”与该公司的GDPR合规官员联系的尝试也被忽视了。
研究人员最终与生物之星2号的法国分公司取得了联系,该部门是合作的,并于8月13日关闭了这一漏洞。vpnMentor说:
“作为有道德的黑客,当我们发现安全漏洞时,我们有义务接触网站。尤其是当一家公司的数据泄露影响到这么多人,并且包含如此敏感的数据时,情况尤其如此。”
然而,这些道德也意味着我们对公众负有责任。BioStar 2的客户和员工必须意识到他们在使用技术时所冒的风险,而这些技术在保护他们的用户方面做得太少了。“
。