行业新闻与博客

生物识别数据库中暴露的数百万条记录

研究人员今天透露,全球数千家公司使用的生物识别楼宇访问系统已经暴露了 23 千兆字节的数据,代表着超过 2780 万条记录。BioStar 2 产品被英国大都会警察局等组织使用,可以公开获取包括指纹和面部识别图像在内的信息。

VPN 咨询公司 vpnMentor 的研究人员表示,他们发现了 BioStar 2 基于网络的安全平台中公布的数据。它存储用于访问全球数千个站点的物理设施的生物识别数据。客户使用它来访问建筑物的安全区域并记录员工移动以进行时间和出勤。

BioStar 2 还集成到第三方系统中,例如 Nedap 的 AEOS 访问控制系统,该系统已被 83 个国家的 5,700 多个组织使用。英国大都会警察就是其中之一。

暴露的数据不仅包括未加密的员工用户名和密码,还包括超过一百万的指纹记录和面部识别图像。研究人员可以查看员工在整个物理设施中的移动记录,以及他们的开始日期和安全许可级别,家庭住址和电子邮件。

vpnMentor 在 Elasticsearch 数据库中发现了大部分未加密的暴露数据。他们在今天发布的一份报告中说,该团队可以通过浏览器访问它,并可以操纵 URL 来提取数据。

受影响的公司包括英国的家居装饰和 DIY 供应商 Tile Mountain 以及印度和斯里兰卡的健身房专营权 Power World Gyms,它在数据库中存储了超过 113,000 个用户记录和指纹。

根据 vpnMentor 的说法,生产 BioStar 2 的公司 Suprema 非常不合作,该公司多次尝试通过电子邮件联系该公司。“最终,我们决定通过电话联系 BioStar 2 的办公室。再次,该公司基本上没有反应,”vpnMentor 说。“在与他们德国队的一名成员交谈时,我们收到了一个蹩脚的回复,说'我们不跟 vpnMentor',在电话突然挂断之前。”

Suprema 也没有回应 Infosecurity 杂志的询问。然而,在 vpnMentor 第一次联系它之后的八天,该公司最终解决了这个问题。

vpnMentor 警告说,网络犯罪分子可以使用这些信息来发起网络钓鱼攻击或在黑暗的网络上销售。他们还可以利用它来获取全球数千个设施的物理访问权限。

他们说:“被黑客攻击的建筑物的整个安全基础设施变得毫无用处。拥有这些数据的任何人都可以自由移动到他们选择的任何地方,未被发现。”

研究人员表示,BioStar 2 用户应立即更改其仪表板密码,并通知员工更改其个人密码。然而,威胁保护公司 IntSights Cyber Intelligence 的网络威胁情报分析师兼研究员 Charity Wright 警告说,集中式生物识别数据库的曝光突出了一个更深层次的问题。

“Suprema 非常幸运,安全研究人员发现了这一点,并在道德上公开了它。如果他们确定黑客已经访问过这些开放服务器,那么损害将是灾难性的,”她说。“与凭证不同,生物识别技术可能会被窃取并用于破解人们的 2FA。这些是纯文本密码和真实指纹,可用于模仿受害者的登录信息,我们正在讨论使用此技术的 150 多万个地点“。

非常感谢您对亚洲注册的支持与信任!

禁止转载

需要帮助吗?联系我们的支持团队 在线客服