吉祥体育备用网址: 在公共可访问的Suprema数据库中发现了大量敏感的个人数据,包括超过一百万人的指纹,面部识别信息以及未加密的用户名和密码,Suprema是警察部队,国防承包商和银行使用的生物识别技术公司。
该公司的旗舰Biostar 2生物识别锁定系统允许集中控制访问仓库,办公楼等安全设施,使用指纹和面部识别来识别寻求访问的个人 – 在7月,该平台被集成到门禁控制系统AEOS中,该网络被83个国家的近6,000个组织使用,并适用于全球约150万个地点。
然而,上周,以色列安全研究公司vpnmentor审查虚拟专用网络服务的速度,安全性,支持和功能,发现Biostar 2的数据库没有受到保护,大部分未加密,允许他们访问近2800万条个人记录和23千兆字节的数据包括管理面板,仪表板,指纹数据,面部识别数据,用户头像,未加密的用户名和密码,设施访问日志,安全级别和许可,以及员工的个人详细信息。
它现在发布了关于系统防御漏洞的诅咒报告,警告“各种各样的犯罪分子”可以将这些信息用于“各种非法和危险的活动”。
“面部识别和指纹信息无法改变。一旦它们被盗,它就无法撤消。考虑到其重要性以及Biostar 2由安全公司建造的事实,Biostar 2存储此信息的无担保方式令人担忧。他们没有保存指纹的散列(不能进行逆向工程),而是节省了人们可以为恶意目的复制的实际指纹,“报告指出。吉祥体育登录链接
它继续指出该公司的研究人员甚至能够更改数据并添加新用户,这意味着他们可以编辑现有用户的帐户,添加他们自己的指纹,然后可以访问个人有权进入的任何建筑物 – 黑客因此可能创建整个伪指纹库以进入安全位置而不被检测到。他们还可以访问活动日志,因此可以删除或更改数据以隐藏其活动。
作者还建议指纹数据被盗是“特别有关”,因为指纹正在取代许多消费品(如智能手机)上的键入密码 – 因为大多数消费品上的指纹扫描仪都是未加密的,如果黑客可以复制指纹,他们就可以获得所有指纹存储在设备上的私人信息,例如消息,照片和付款方式。
“如果Biostar 2的制造商采取了基本的安全预防措施,那么这种泄漏本可以很容易地避免。虽然我们发现的信息仍然可能落入犯罪黑客手中,但我们建议Biostar 2和Suprema安全服务器采用更好的保护措施,不要保存用户的实际指纹,在数据库上实施适当的访问规则,永远不要留下该报告得出结论,该系统不需要对互联网进行身份验证。
这只是最新的主要运营安全未被vpnmentor发现 – 最近,该公司的“黑客行动主义者”发现了一个未受保护的微软数据库,其中包括有关住户人数及其全名,婚姻状况,收入等级,年龄的信息。此外,它影响了65%的美国家庭。