Оглавление:
Что тебе нужно знать
- Два израильских исследователя безопасности обнаружили незашифрованную базу данных Biostar 2 с объемом данных 23 ГБ
- В данные были включены отпечатки пальцев, сканы лица, имена пользователей, пароли и другая личная информация более 1 миллиона человек.
- Уязвимость закрыта, и компания проводит углубленную оценку информации.
На прошлой неделе израильские исследователи безопасности Ноам Ротем и Ран Локар обнаружили в Интернете в основном незашифрованную общедоступную базу данных Biostar 2. База данных включала в себя отпечатки пальцев, сканирование лица, имена пользователей и пароли, а также личную информацию более 1 миллиона человек.
Biostar 2 - это система биометрических замков, разработанная охранной компанией Suprema, которая интегрируется с системой контроля доступа AEOS. Просто AEOS используется в 83 странах мира и 5700 организациях, включая правительства, банки и столичную полицию Великобритании.
Rotem и Locar столкнулись с этой базой данных во время побочного проекта с vpnmentor, где они сканируют «порты, ищущие знакомые блоки IP, а затем используют эти блоки, чтобы найти дыры в системах компаний, которые потенциально могут привести к утечкам данных».
После того, как пара нашла базу данных Biostar 2, они смогли искать в базе данных и манипулировать URL-адресами, чтобы получить доступ к данным.
Исследователи имели доступ к более чем 27, 8 млн. Записей и 23-гигабайтным данным, включая административные панели, информационные панели, данные отпечатков пальцев, данные распознавания лиц, фотографии лиц пользователей, незашифрованные имена пользователей и пароли, журналы доступа к объекту, уровни безопасности и разрешения, и личные данные персонала.
Обращаясь к Guardian, Ротем сказал, что большинство имен пользователей и паролей не зашифрованы, и они также могут изменять данные и добавлять новых пользователей в систему.
В статье об открытии, предоставленной Guardian перед публикацией vpnmentor в среду, исследователи заявили, что они смогли получить доступ к данным от сотрудничающих организаций в США и Индонезии, сети спортивных залов в Индии и Пакистане, поставщика лекарств в США. Великобритания, и разработчик места для парковки автомобилей в Финляндии, среди других.
Что делает это еще более опасным, так это то, что исследователи отметили, что база данных включает отпечатки пальцев людей. Это означает, что отпечаток пальца может быть скопирован и использован другими, вместо того, чтобы хранить хэш отпечатка пальца, который не может быть восстановлен.
Ротем и Локар неоднократно пытались связаться с Супремой, прежде чем отправлять свои бумаги в «Гардиан» в конце прошлой недели, и по состоянию на утро среды уязвимость была исправлена. Руководитель отдела маркетинга в Suprema Энди Ан сказал Guardian, что компания проводит «углубленную оценку» информации и:
Если существует какая-либо определенная угроза для наших продуктов и / или услуг, мы предпримем немедленные действия и сделаем соответствующие объявления для защиты ценных предприятий и активов наших клиентов.
Мы все видели новости о нарушениях безопасности, и более чем вероятно, что вы были жертвой одного из них в прошлом. Обычно требуется, чтобы вы изменили свой пароль, но когда дело доходит до ваших биометрических данных, вы не можете просто изменить свой отпечаток пальца или лицо.
Насколько безопасна функция распознавания лиц на Galaxy S10?