ما تحتاج إلى معرفته
- اكتشف باحثان أمنيان إسرائيليان قاعدة بيانات Biostar 2 غير مشفرة تحتوي على 23 جيجابايت من البيانات
- تضمنت البيانات بصمات الأصابع ومسح الوجه وأسماء المستخدمين وكلمات المرور والمعلومات الشخصية الأخرى لأكثر من مليون شخص.
- تم الآن إغلاق الثغرة الأمنية وتقوم الشركة بإجراء تقييم متعمق للمعلومات.
في الأسبوع الماضي ، اكتشف باحثا الأمن الإسرائيليان نعوم روتم وران لوكار قاعدة بيانات Biostar 2 المتاحة للجمهور وغير المشفرة على الإنترنت. تضمنت قاعدة البيانات بصمات الأصابع ومسح الوجه وأسماء المستخدمين وكلمات المرور والمعلومات الشخصية لأكثر من مليون شخص.
Biostar 2 هو نظام قفل للمقاييس الحيوية طورته شركة الأمان Suprema والذي يتكامل مع نظام التحكم في الوصول AEOS. تصادف أن يتم استخدام AEOS في 83 دولة حول العالم و 5700 منظمة ، بما في ذلك الحكومات والبنوك وشرطة العاصمة البريطانية.
حدث Rotem و Locar في قاعدة البيانات هذه أثناء مشروع جانبي مع vpnmentor حيث قاموا بمسح "المنافذ التي تبحث عنها كتل IP المألوفة ، ثم استخدم هذه الكتل لإيجاد ثغرات في أنظمة الشركات يمكن أن تؤدي إلى البيانات المخالفات ".
بعد أن عثر الزوج على قاعدة بيانات Biostar 2 ، تمكنوا من البحث في قاعدة البيانات والتلاعب بعناوين URL للوصول إلى البيانات.
يتحدث الى وصي، قال روتم إن معظم أسماء المستخدمين وكلمات المرور كانت غير مشفرة وكانوا قادرين أيضًا على تغيير البيانات وإضافة مستخدمين جدد إلى النظام.
ما يجعل هذا الأمر أكثر خطورة هو أن الباحثين أشاروا إلى أن قاعدة البيانات تتضمن بصمات أصابع الأشخاص. هذا يعني أنه يمكن نسخ البصمة واستخدامها من قبل الآخرين ، بدلاً من تخزين تجزئة لبصمة الإصبع التي لا يمكن عكسها.
قام Rotem و Locar بمحاولات متعددة للاتصال بـ Suprema قبل إرسال ورقتهما إلى الجارديان أواخر الأسبوع الماضي ، واعتبارًا من صباح الأربعاء ، تم إصلاح الثغرة الأمنية. قال رئيس التسويق في Suprema ، آندي آن ، لصحيفة الغارديان إن الشركة تقوم "بتقييم متعمق" للمعلومات و:
لقد رأينا جميعًا القصص الإخبارية حول الخروقات الأمنية ، وعلى الأرجح أنك كنت ضحية لواحدة من هذه الانتهاكات في الماضي. عادة ما يتطلب منك تغيير كلمة المرور الخاصة بك ، ولكن عندما يتعلق الأمر ببيانات المقاييس الحيوية الخاصة بك ، لا يمكنك فقط تغيير بصمة إصبعك أو وجهك.
ما مدى أمان التعرف على الوجه في Galaxy S10؟