Съдържание:
Какво трябва да знаете
- Двама израелски изследователи по сигурността откриха некриптирана база данни Biostar 2 с данни на стойност 23 GB
- В данните бяха включени пръстови отпечатъци, сканиране на лицето, потребителски имена, пароли и друга лична информация на над 1 милион души.
- Уязвимостта вече е затворена и компанията извършва задълбочена оценка на информацията.
Миналата седмица израелските изследователи по сигурността Ноам Ротем и Ран Локар откриха в интернет най-вече некриптирана публично достъпна база данни Biostar 2. Базата данни включва пръстови отпечатъци, сканиране на лицето, потребителски имена и пароли и лична информация на над 1 милион души.
Biostar 2 е система за заключване на биометрични данни, разработена от охранителната компания Suprema, която се интегрира със системата за контрол на достъпа AEOS. Случайно AEOS се използва в 83 страни по света и 5 700 организации, включително правителства, банки и столичната полиция на Обединеното кралство.
Rotem и Locar се случиха с тази база данни по време на страничен проект с vpnmentor, където те сканират „портове, които търсят познати IP блокове, и след това използват тези блокове, за да намерят дупки в системите на компаниите, които потенциално биха могли да доведат до нарушаване на данните“.
След като двойката намери базата данни на Biostar 2, те успяха да търсят в базата данни и да манипулират URL адреси, за да получат достъп до данните.
Изследователите имаха достъп до над 27, 8 милиона записа и до 23 гигабайта данни, включително административни панели, табла за управление, данни за пръстови отпечатъци, данни за разпознаване на лица, снимки на лица на потребители, незашифровани потребителски имена и пароли, дневници за достъп до съоръжения, нива на сигурност и клирънс, и лични данни за персонала.
Говорейки пред Guardian, Rotem каза, че повечето потребителски имена и пароли са нешифровани и те също могат да променят данни и да добавят нови потребители в системата.
В доклада за откритието, предоставено на Guardian, преди да бъде публикувано от vpnmentor в сряда, изследователите заявиха, че имат достъп до данни от сътрудничещи организации в САЩ и Индонезия, верига за фитнес в Индия и Пакистан, доставчик на лекарства в Обединеното кралство и разработчик на място за паркиране на автомобили във Финландия.
Това, което прави това още по-опасно, са изследователите, че базата данни включва отпечатъци на хората. Това означава, че пръстовият отпечатък може да бъде копиран и използван от други хора, вместо да съхранява хеш на пръстовия отпечатък, който не може да бъде проектиран обратно.
Ротем и Локар направиха множество опити да се свържат със Супрема, преди да изпратят документите си на „Гардиън“ в края на миналата седмица, а към сряда сутринта уязвимостта е фиксирана. Ръководителят на маркетинга в Suprema, Анди Ан, заяви пред Guardian, че компанията прави "задълбочена оценка" на информацията и:
Ако е имало определена заплаха за нашите продукти и / или услуги, ние ще предприемем незабавни действия и ще направим подходящи съобщения, за да защитим ценните бизнеси и активи на нашите клиенти.
Всички сме виждали новините за нарушения на сигурността и повече от вероятно сте били жертва на едно от тях в миналото. Обикновено изисква да промените паролата си, но когато става въпрос за вашите биометрични данни, не можете просто да промените пръстовия си отпечатък или лицето.
Колко сигурно е разпознаването на лицето на Galaxy S10?
