Isi kandungan:
Apa yang anda perlu ketahui
- Dua penyelidik keselamatan Israel menemui pangkalan data Biostar 2 yang tidak disahkan dengan data bernilai 23GB
- Termasuk dalam data adalah cap jari, imbasan wajah, nama pengguna, kata laluan, dan maklumat peribadi lain lebih dari 1 juta orang.
- Kerentanan kini ditutup dan syarikat sedang melakukan penilaian mendalam mengenai maklumat tersebut.
Minggu lepas, penyelidik keselamatan Israel Noam Rotem dan Ran Locar menemui pangkalan data Biostar 2 yang boleh diakses secara umum dalam talian secara dalam talian. Pangkalan data termasuk cap jari, imbasan muka, nama pengguna dan kata laluan, dan maklumat peribadi lebih dari 1 juta orang.
Biostar 2 adalah sistem kunci biometrik yang dibangunkan oleh syarikat keselamatan Suprema yang terintegrasi dengan sistem kawalan akses AEOS. AEOS hanya akan digunakan di 83 negara di seluruh dunia dan 5, 700 organisasi, termasuk kerajaan, bank, dan Polis Metropolitan UK.
Rotem dan Locar berlaku atas pangkalan data ini semasa projek sampingan dengan vperjor di mana mereka mengimbas "pelabuhan mencari blok IP yang biasa, dan kemudian menggunakan blok ini untuk mencari lubang dalam sistem syarikat yang berpotensi membawa kepada pelanggaran data."
Selepas pasangan itu menemui pangkalan data Biostar 2, mereka dapat mencari pangkalan data dan memanipulasi URL untuk mendapatkan akses kepada data.
Para penyelidik mempunyai akses kepada lebih daripada 27.8m rekod, dan data 23 gigabait termasuk panel admin, papan pemuka, data cap jari, data pengenalan wajah, muka foto pengguna, nama pengguna dan kata laluan yang tidak disulitkan, log akses kemudahan, tahap keselamatan dan pelepasan, dan butiran peribadi kakitangan.
Bercakap kepada Guardian, Rotem berkata kebanyakan nama pengguna dan kata laluan tidak dienkripsi dan mereka juga dapat mengubah data dan menambah pengguna baru ke dalam sistem.
Di dalam kertas mengenai penemuan yang diberikan kepada Guardian sebelum diterbitkan oleh vpnmentor pada hari Rabu, para penyelidik mengatakan bahawa mereka dapat mengakses data dari organisasi kerja sama di Amerika Syarikat dan Indonesia, rantai gim di India dan Pakistan, pembekal perubatan dalam United Kingdom, dan pemaju ruang letak kereta di Finland, antara lain.
Apa yang membuat ini lebih berbahaya, para penyelidik menunjukkan bahawa pangkalan data termasuk cap jari rakyat. Itu bererti cap jari boleh disalin dan digunakan oleh orang lain, bukannya menyimpan hash cap jari yang tidak boleh dibalikkan.
Rotem dan Locar membuat beberapa percubaan untuk menghubungi Suprema sebelum menghantar kertas mereka ke Guardian lewat minggu lalu, dan pada hari Rabu pagi, kerentanan telah ditetapkan. Ketua pemasaran di Suprema, Andy Ahn, memberitahu Guardian bahawa syarikat itu melakukan "penilaian mendalam" maklumat dan:
Sekiranya terdapat sebarang ancaman pasti terhadap produk dan / atau perkhidmatan kami, kami akan mengambil tindakan segera dan membuat pengumuman yang sesuai untuk melindungi perniagaan dan aset kami yang berharga.
Kita semua telah melihat cerita berita tentang pelanggaran keselamatan, dan lebih daripada mungkin anda telah menjadi mangsa salah satu daripada ini pada masa lalu. Ia biasanya memerlukan anda menukar kata laluan anda, tetapi apabila ia datang kepada data biometrik anda, anda tidak boleh mengubah cap jari atau muka anda.
Betapa selamatnya pengiktirafan wajah pada Galaxy S10?
