密碼暴露已經(jīng)足夠糟糕了。但是指紋和面部識別數(shù)據(jù)呢？太可怕了。

據(jù)《衛(wèi)報》報道，Suprema的Biostar 2生物特征安全系統(tǒng)受到了審查。此前，Vpnentor和兩名研究人員 — Noam Rotem and Ran Locar — 發(fā)現(xiàn)了一個重大缺陷，暴露了100多萬人的生物特征數(shù)據(jù)。

Biostar2是一個安全平臺，利用面部識別和指紋控制進(jìn)入建筑物和其他安全設(shè)施。更糟的是，Biostar2最近被整合到了NEDAP的AEOS安全平臺中，該平臺被80多個國家的數(shù)千家公司和組織用于安全設(shè)備。

研究人員說，不僅數(shù)據(jù)庫未加密，而且通過調(diào)整搜索和分析引擎ElasticSearch中的URL搜索標(biāo)準(zhǔn)來訪問數(shù)據(jù)庫，這其中包含了大量的數(shù)據(jù)。

據(jù)《衛(wèi)報》報道，研究人員“可以訪問超過2780萬條記錄和23GB的數(shù)據(jù)，包括管理面板、儀表盤、指紋數(shù)據(jù)、面部識別數(shù)據(jù)、用戶的面部照片、未加密的用戶名和密碼、設(shè)備訪問日志、安全級別以及員工的個人信息。” 除敏感信息外，安全研究人員還可以輕松監(jiān)控存儲的生物識別數(shù)據(jù)的實際使用情況。例如，要實時查看哪個用戶通過特定安全門進(jìn)入任何設(shè)施，甚至查看管理員帳戶的密碼。此外，研究人員可以編輯某人的帳戶并添加他們自己的指紋。因此從理論上講，攻擊者可以突破所有需要被授權(quán)進(jìn)入的地方。

據(jù)vpnMentor稱，暴露的數(shù)據(jù)于2019年8月5日被發(fā)現(xiàn)。兩天后，他們將這一問題通知了Biostar2，到8月13日，數(shù)據(jù)庫已變?yōu)樗接小２恢肋@些信息被訪問了多長時間，也不知道是否有人，特別是壞人，能夠訪問數(shù)據(jù)庫。