سجلات خرق بصمات الأصابع والتعرف على الوجه لأكثر من مليون شخص

ما تحتاج إلى معرفته

• اكتشف باحثان أمنيان إسرائيليان قاعدة بيانات Biostar 2 غير مشفرة تحتوي على 23 جيجابايت من البيانات
• تضمنت البيانات بصمات الأصابع ومسح الوجه وأسماء المستخدمين وكلمات المرور والمعلومات الشخصية الأخرى لأكثر من مليون شخص.
• تم الآن إغلاق الثغرة الأمنية وتقوم الشركة بإجراء تقييم متعمق للمعلومات.

في الأسبوع الماضي ، اكتشف باحثا الأمن الإسرائيليان نعوم روتم وران لوكار قاعدة بيانات Biostar 2 المتاحة للجمهور وغير المشفرة على الإنترنت. تضمنت قاعدة البيانات بصمات الأصابع ومسح الوجه وأسماء المستخدمين وكلمات المرور والمعلومات الشخصية لأكثر من مليون شخص.

Biostar 2 هو نظام قفل للمقاييس الحيوية طورته شركة الأمان Suprema والذي يتكامل مع نظام التحكم في الوصول AEOS. تصادف أن يتم استخدام AEOS في 83 دولة حول العالم و 5700 منظمة ، بما في ذلك الحكومات والبنوك وشرطة العاصمة البريطانية.

حدث Rotem و Locar في قاعدة البيانات هذه أثناء مشروع جانبي مع vpnmentor حيث قاموا بمسح "المنافذ التي تبحث عنها كتل IP المألوفة ، ثم استخدم هذه الكتل لإيجاد ثغرات في أنظمة الشركات يمكن أن تؤدي إلى البيانات المخالفات ".

بعد أن عثر الزوج على قاعدة بيانات Biostar 2 ، تمكنوا من البحث في قاعدة البيانات والتلاعب بعناوين URL للوصول إلى البيانات.

تمكن الباحثون من الوصول إلى أكثر من 27.8 مليون سجل و 23 جيجا بايت من البيانات بما في ذلك لوحات الإدارة ولوحات المعلومات وبيانات بصمات الأصابع والوجه بيانات التعرف ، وصور الوجوه للمستخدمين ، وأسماء المستخدمين وكلمات المرور غير المشفرة ، وسجلات الوصول إلى المنشأة ، ومستويات الأمان والتخليص ، والشخصية تفاصيل الموظفين.

يتحدث الى وصي، قال روتم إن معظم أسماء المستخدمين وكلمات المرور كانت غير مشفرة وكانوا قادرين أيضًا على تغيير البيانات وإضافة مستخدمين جدد إلى النظام.

في الورقة حول الاكتشاف التي تم تقديمها إلى The Guardian قبل نشرها بواسطة vpnmentor يوم الأربعاء ، قال الباحثون إنهم تمكنوا من الوصول إلى البيانات من العمل المشترك المنظمات في الولايات المتحدة وإندونيسيا ، وسلسلة صالات رياضية في الهند وباكستان ، ومورد للأدوية في المملكة المتحدة ، ومطور لمواقف السيارات في فنلندا ، من بين آحرون.

ما يجعل هذا الأمر أكثر خطورة هو أن الباحثين أشاروا إلى أن قاعدة البيانات تتضمن بصمات أصابع الأشخاص. هذا يعني أنه يمكن نسخ البصمة واستخدامها من قبل الآخرين ، بدلاً من تخزين تجزئة لبصمة الإصبع التي لا يمكن عكسها.

قام Rotem و Locar بمحاولات متعددة للاتصال بـ Suprema قبل إرسال ورقتهما إلى الجارديان أواخر الأسبوع الماضي ، واعتبارًا من صباح الأربعاء ، تم إصلاح الثغرة الأمنية. قال رئيس التسويق في Suprema ، آندي آن ، لصحيفة الغارديان إن الشركة تقوم "بتقييم متعمق" للمعلومات و:

إذا كان هناك أي تهديد محدد على منتجاتنا و / أو خدماتنا ، فسنتخذ إجراءات فورية ونصدر الإعلانات المناسبة لحماية الأعمال والأصول القيمة لعملائنا.

لقد رأينا جميعًا القصص الإخبارية حول الخروقات الأمنية ، وعلى الأرجح أنك كنت ضحية لواحدة من هذه الانتهاكات في الماضي. عادة ما يتطلب منك تغيير كلمة المرور الخاصة بك ، ولكن عندما يتعلق الأمر ببيانات المقاييس الحيوية الخاصة بك ، لا يمكنك فقط تغيير بصمة إصبعك أو وجهك.

ما مدى أمان التعرف على الوجه في Galaxy S10؟