據稱,暴露澳大利亞金融機構敏感證書的脆弱性已被關閉OCR實驗室,在被發現和披露之後網絡新聞研究人員。報告稱,OCR實驗室使用的生物識別檢測API是暴露的數據之一。
但是,OCR實驗室對報告中的詳細信息提出了疑問生物識別更新API用於創建短暫的會話,一旦完成就無法召回。因此,無法訪問個人身份信息。
OCR實驗室的Apac GM Paul Warren-Tape說:“我們的任何系統中從來沒有數據洩漏或違反。”生物識別更新。
通過OCR Labs產品使用的錯誤配置和公共訪問的環境文件,可以訪問數據idkit.com,通過自拍生物識別技術提供銀行級的身份驗證。該文件包括數據庫憑據,包括用於訪問Amazon Web服務和簡單隊列服務(SQS)以及API鍵。
澳大利亞的QBank主要迎合政府機構工人,為國家武裝部隊服務的國防銀行和住宅抵押提供商MA貨幣都受到影響。據Cybernews稱,英國的花錢和海軍上將金錢以及招聘服務里德也受到影響。
Qbank在一份聲明中說:“第三方網絡安全專家的調查明確地得出結論,在任何階段,對Qbank成員數據都有任何威脅。”
OCR實驗室說,立即學習它的脆弱性,需要採取一切必要的步驟。公司遵循漏洞披露計劃(VDP)框架,以確保透明度和安全性。
洩漏的數據包括用於LIVICE和信用報告機構Experian的API鍵,以及用於KYC檢查的OCR Labs的Engine V4的證書,因此可以連接到敏感的客戶數據。
OCR實驗室的內部調查顯示,任何客戶數據的安全性沒有風險。
沃倫·塔普(Warren-Tape)表示:“經過廣泛的調查,我們可以毫無疑問地確認與無效和占位符的憑證有關的發現的配置是針對未使用的演示和占位符環境的。這些都是非生產環境,並且對客戶數據或我們的系統的安全沒有任何風險。”
他還指出,OCR實驗室承認有必要確保“具有無效憑證”的“演示或占位符環境”,因為它具有生產環境。
該公司表示,現在就澳大利亞網絡安全中心的建議就據稱不准確的報告尋求獨立的法律建議。
OCR實驗室最近被批准為英國的diatf工作權檢查。
