近年来发生的多起大规模信息泄露事件,使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光,那后果就更加严重了。遗憾的是,这正是SupremaBiostar2指纹锁身上所发生的事情。据悉,研究人员在Suprema的系统中发现了一个安全漏洞,使之能够访问超过100万人的身份验证数据。
(图自:vpnMentor,viaBGR)
英国《卫报》指出,这些数据包括了指纹/面部识别数据、未加密的用户名和密码、甚至员工的个人信息。
Report-Biostar2DataLeak(via)
以色列研究人员NoamRotem、RanLocar与vpnmentor一起寻找到了Suprema的安全漏洞,并且获得了Biostar2数据库的访问权限。
最令人震惊的是,在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过2780万条(23GB+)的记录。
除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。
此外,研究人员能够编辑某人的帐户,在其中加入自己的指纹。因此从理论上来讲,攻击者可以突破所有需要授权进入的地方。
更令人不安的是,研究人员发现密码数据根本没有受到任何保护,使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到:
Suprema未采用无法进行逆向工程的散列式指纹数据存储,而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。
即便如此,Suprema营销主管AndyAhn还是在接受《卫报》采访时称:此事并没有什么可担心的。
然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题,并对这批数据展开了滥用。
版权声明:本站所有作品(图文、音视频)均由用户自行上传分享,仅供网友学习交流,不声明或保证其内容的正确性,如发现本站有涉嫌抄袭侵权/违法违规的内容。请举报,一经查实,本站将立刻删除。