身份驗證使用的一系列文件,包括用於面部生物識別技術的自拍照,被FacePass應用中的漏洞暴露出來,然後在研究人員通知開發人員後修復。
facepass根據報告,在巴西廣泛使用,這就是為什麼160萬個文件包含許多巴西國家ID和納稅人註冊表(CFP)數字的原因。自拍照,全名,電話號碼和公司的系統憑據也被暴露。網絡新聞報告其研究團隊在AWS S3存儲桶中找到了這些文件。
Cybernews指出,在Excel文件中找到了名稱和ID,這使得它們更容易實施欺詐或執行量身定制的網絡釣魚方案並在深色網上出售。
“這種暴露數據的trove將用戶處於認同盜用,財務欺詐和有針對性的網絡釣魚攻擊的巨大風險中。網絡犯罪分子可以利用國家ID和自拍照來繞過生物識別驗證系統,模擬受害者或獲得未經授權的財務賬戶訪問權限,” Cybernews研究人員說。 ”
如果將數據存儲在單獨的位置或創建參考模板後刪除的自拍照,則可能會大大減少潛在的損壞。
發現的AWS憑據也可以用於訪問公司係統,然後提取,更改或刪除用戶數據。
FacePass主要用於巴西購買門票和參加活動,這是生物識別技術的用例在2024年,今年設置了更多的推出。
發現了洩漏,並於1月30日啟動了披露過程,並於2月19日關閉了漏洞。
文章主題
||||||||
