FacePass 應用程序中的漏洞暴露了身份驗證使用的大量文件,包括用於面部生物識別的自拍照,並在研究人員通知開發人員後修復。
人臉通行證報告稱,該技術在巴西被廣泛使用,這就是為什麼 160 萬份文件包含大量巴西國民身份證和納稅人登記 (CFP) 號碼。自拍照、全名、電話號碼和公司的系統憑據也被曝光。網絡新聞報告其研究團隊在 AWS S3 存儲桶中發現了這些文件。
Cybernews 指出,這些姓名和 ID 是在 Excel 文件中一起發現的,這使得他們更容易實施欺詐或實施定制的網絡釣魚計劃,並在暗網上進行銷售。
“這些暴露的數據使用戶面臨身份盜竊、金融欺詐和有針對性的網絡釣魚攻擊的巨大風險。網絡犯罪分子可以利用國民身份證和自拍照繞過生物識別系統,冒充受害者,或未經授權訪問金融賬戶。”網絡新聞研究人員表示。
如果數據存儲在不同的位置,或者在創建參考模板後刪除自拍照,則潛在的損害將大大減少。
發現的 AWS 憑證還可用於訪問公司係統,然後提取、更改或刪除用戶數據。
FacePass 在巴西主要用於購買門票和參加活動,這是生物識別技術的一個用例,已獲得廣泛應用2024 年,今年將推出更多產品。
該漏洞於 1 月 30 日被發現並啟動披露流程,並於 2 月 19 日關閉該漏洞。
文章主題
||||||||
