Tartalomjegyzék:
Amit tudnod kell
- Két izraeli biztonsági kutató egy titkosítatlan Biostar 2 adatbázist fedezett fel 23 GB-os adatokkal
- Az adatok tartalmazzák több mint egymillió ember ujjlenyomatait, arc-beolvasásait, felhasználóneveit, jelszavait és egyéb személyes adatait.
- A biztonsági rést már lezárták, és a vállalat mélyrehatóan értékeli az információkat.
A múlt héten Noam Rotem és Ran Locar izraeli biztonsági kutatók felfedezték a legtöbb, nem titkosított, nyilvánosan elérhető Biostar 2 adatbázist az interneten. Az adatbázis több mint egymillió ember ujjlenyomatait, arc-beolvasásait, felhasználóneveit és jelszavait, valamint személyes adatait tartalmazza.
A Biostar 2 a Suprema biztonsági cég által kifejlesztett biometrikus zárrendszer, amely az AEOS beléptető rendszerrel integrálódik. Az AEOS rendszert csak 83 országban és 5700 szervezetben használják, beleértve a kormányokat, bankokat és az Egyesült Királyság Fővárosi Rendőrségét.
Rotem és Locar történt ezen az adatbázison a vpnmentorral folytatott oldalsó projekt során, ahol átvizsgálják "portokat, amelyek ismerős IP blokkokat keresnek, majd ezeket a blokkokat arra használják, hogy olyan lyukakat találjanak a vállalatok rendszerében, amelyek potenciálisan adat megsértéséhez vezethetnek".
Miután a pár megtalálta a Biostar 2 adatbázisát, képesek voltak keresni az adatbázisban és manipulálni az URL-eket, hogy hozzáférjenek az adatokhoz.
A kutatók több mint 27, 8 millió rekordhoz és 23 gigabájt értékű adathoz fértek hozzá, ideértve az adminisztrációs paneleket, műszerfal táblákat, ujjlenyomatadatokat, arcfelismerési adatokat, a felhasználók arcfotóit, a titkosítatlan felhasználóneveket és jelszavakat, a létesítményekhez való hozzáférés naplóit, a biztonsági szinteket és a biztonsági engedélyeket, és a személyzet személyes adatai.
A Guardiannel beszélt Rotem szerint a legtöbb felhasználónév és jelszó titkosítás nélküli volt, és képesek voltak adatok megváltoztatására és új felhasználók felvételére a rendszerbe.
A Guardiannek nyújtott felfedezésről szóló, a vpnmentor szerdán közzétételét megelőző cikkben a kutatók szerint az USA-ban és Indonéziában működő együttműködő szervezetek, Indiában és Pakisztánban működő edzőtermi lánc adataihoz férhetnek hozzá, valamint az Egyesült Királyság és egy parkolóhely-fejlesztő többek között Finnországban.
Mi teszi ezt még veszélyesebbé, a kutatók rámutattak arra, hogy az adatbázis az emberek ujjlenyomatait tartalmazza. Ez azt jelenti, hogy mások másolhatják és felhasználhatják az ujjlenyomatot az ujjlenyomat kivonatának tárolása helyett, amelyet nem lehet megtervezni.
Rotem és Locar többször is megpróbálták felvenni a kapcsolatot a Supremával, mielőtt elküldték papírjaikat a Guardiannak a múlt héten későn. Szerda reggeltől kezdve a sérülékenységet javították. Andy Ahn, a Suprema marketing vezetője elmondta a Guardiannek, hogy a társaság az információk "alapos értékelését" végzi és:
Ha termékeinkre és / vagy szolgáltatásainkra egyértelmű veszély merül fel, azonnali intézkedéseket teszünk és megfelelő hirdetményeket teszünk ügyfeleink értékes üzleti vállalkozásainak és vagyonának védelme érdekében.
Mindannyian láttuk a biztonsági szabályok megsértéséről szóló híreket, és valószínű, hogy a múltban ezek egyikének áldozata lettél. Általában meg kell változtatnia a jelszavát, de amikor a biometrikus adatait illeti, akkor nem csak meg lehet változtatni az ujjlenyomatát vagy az arcát.
Mennyire biztonságos az arcfelismerés a Galaxy S10 készüléken?
![Drag racing - motorkerékpár kiadás [android app review]](https://img.androidermagazine.com/img/software-reviews/889/drag-racing-bike-edition.jpg "Drag racing - motorkerékpár kiadás [android app review]")
