在线发现了超过100万人的生物识别信息,如指纹,面部识别配置文件,甚至未加密的用户名和密码以及员工的个人信息。暴露的数据库似乎属于Suprema,这是一家销售Biostar 2基于网络的生物识别身份验证系统的安全公司,用于获取建筑物。
Suprema的Biostar 2暴露了100万个生物特征剖面
上个月,Suprema宣布将其Biostar 2系统集成到另一个名为AEOS的门禁控制系统中。AEOS被83个国家的5,700个组织使用,包括政府,银行和英国大都会警察局。
以色列安全研究人员Noam Rotem和RanLocar与VPNMentor的安全团队合作,后者负责审查虚拟专用网络(VPN)服务,扫描端口并查找熟悉的IP模块,以寻找可能导致数据的安全漏洞组织中的违规行为。
在上周的一次搜索中,研究人员发现了未受保护且大部分未加密的Biostar 2数据库。该数据库暴露了2780万条记录和23GB的数据,包括管理面板,仪表板,指纹数据,面部识别数据,用户面部照片,未加密的用户名和密码,设施访问日志,安全级别和许可,以及员工的个人详细信息。
研究人员表示,即使管理员凭证似乎也以明文形式存储。他们还声称他们能够更改数据库中的数据并添加新用户。换句话说,研究人员可以编辑一个Biostar 2的帐户,添加他们自己的指纹,然后能够访问用户可以访问的任何建筑物。从本质上讲,这使得Biostar 2对访问数据库的任何人都无用。
Suprema轻松让黑客窃取生物识别数据
根据研究人员的说法,Suprema不仅完全无法保护数据库不被网络访问。它也未能使用行业最佳实践进行生物识别身份验证,例如不将实际指纹或面部识别信息存储在其自身服务器上的集中式数据库中。
研究人员在他们的论文中谈到Suprema:
“它不是保存指纹的散列(不能进行逆向工程),而是保存了人们可以为恶意目的复制的实际指纹。”
Apple和大多数Android智能手机制造商等公司的做法是,他们在设置时创建生物识别数据的加密哈希值,这样他们就不必存储实际的生物识别数据。这样,即使有人试图从Secure Enclave或Android StrongBox硬件安全模块(谷歌的Titan M等)中泄露这些数据,他们也无法提取太多有用的生物识别数据。
相比之下,从Suprema和其他集中式生物识别数据库中窃取的生物识别数据可能会被恶意行为者永久地重复使用。受影响的用户唯一的缓解措施是将来使用其他指纹进行生物识别身份验证,或者将来的生物识别系统变得更加先进,他们不再使用旧的和更基本的被盗生物识别数据。