存儲參考數據以執行面部生物識別匹配的組織不應以未加密的形式存儲該數據。但是,由於最新的薩爾瓦多人的個人信息數據庫,最新的示例似乎在許多組織上丟失了這一基本最佳實踐要求。
超過510萬個個人詳細信息記錄,包括帶有個人薩爾瓦多國家ID文件編號(DUI)標記的高清面部照片重新確定性報告。負責數據轉儲的網絡犯罪分子似乎首先嘗試出售違反的個人信息。
記錄的數量和性質促使人們對社交媒體(警告空的)的猜測是違規行為來自國家數字錢包chivo。
但是,數據的來源和違反該數據的當事方仍然不確定。重新確定性指出,與已知的黑客集團Guacamaya可能有聯繫,後者襲擊了幾個拉丁美洲國家的政府和企業。數據轉儲是由具有“ Ciberinteligenciasv”的用戶發佈到黑客論壇上的。
數據還包括人們的全名,出生日期,電話號碼以及電子郵件和物理地址,除了國家ID信息和自拍照片。記錄數量約佔薩爾瓦多總人口或幾乎所有成年人口的80%。
該數據似乎不太可能有助於任何試圖通過演示攻擊檢測保護的入門或訪問控制系統的黑客,但對於擊敗系統疏忽了網絡安全最佳實踐作為數據源可能是有用的。
如果將面部圖像正確存儲,因為與其他個人數據不同的數據庫中保存的加密模板,它們對剝離它們或其他任何人的黨派的實際價值沒有實際價值。
以某種方式存儲數據或生物識別專業人員會建議一個問題是一個問題,但是附加ID號和其他個人信息可能會使違規行為更大。例如,許多人的面部圖像可能已在社交媒體帳戶上可用並與他們的名字相關聯,但是這種漏洞似乎使薩爾瓦多人相對容易的目標對於想要以假定名稱打開帳戶的網絡犯罪分子的目標,這通常會要求他們收集洩漏的數據庫中包含的其他信息。
重新確定性指出,路透社的一份報告稱,拉丁美洲在2022年世界上任何地區的無保護數據中擁有最高份額。
