ขุมทรัพย์ของไฟล์ที่ใช้โดยการตรวจสอบตัวตนรวมถึงเซลฟี่ที่ใช้สำหรับใบหน้าชีวภาพถูกเปิดเผยโดยช่องโหว่ในแอพ facepass แล้วแก้ไขหลังจากนักวิจัยแจ้งผู้พัฒนา
ใบหน้ามีการใช้กันอย่างแพร่หลายในบราซิลตามรายงานซึ่งเป็นเหตุผลว่าทำไมไฟล์ 1.6 ล้านไฟล์จึงมีหมายเลขประจำชาติของบราซิลและหมายเลขทะเบียนผู้เสียภาษี (CFP) เซลฟี่ชื่อเต็มหมายเลขโทรศัพท์และข้อมูลรับรองระบบของ บริษัท ก็ถูกเปิดเผยเช่นกันไซเบอร์นิวส์รายงานทีมวิจัยพบไฟล์ในถัง AWS S3
ชื่อและรหัสถูกพบร่วมกันในไฟล์ Excel ซึ่งทำให้ง่ายต่อการฉ้อโกงหรือดำเนินการตามแผนการฟิชชิ่งที่ปรับแต่งและขายบนเว็บมืด Cybernews ชี้ให้เห็น
“ ข้อมูลที่เปิดเผยนี้ทำให้ผู้ใช้มีความเสี่ยงอย่างมากต่อการขโมยข้อมูลประจำตัวการฉ้อโกงทางการเงินและการโจมตีแบบฟิชชิ่งเป้าหมายอาชญากรไซเบอร์สามารถใช้ประโยชน์จากรหัสประจำตัวและเซลฟี่เพื่อข้ามระบบการตรวจสอบไบโอเมตริกซ์
หากข้อมูลถูกเก็บไว้ในสถานที่แยกต่างหากหรือเซลฟี่ที่ถูกลบหลังจากสร้างเทมเพลตอ้างอิงความเสียหายที่อาจเกิดขึ้นจะลดลงอย่างมีนัยสำคัญ
ข้อมูลรับรอง AWS ที่พบสามารถใช้ในการเข้าถึงระบบของ บริษัท แล้วแยกเปลี่ยนหรือลบข้อมูลผู้ใช้
facepass ส่วนใหญ่ใช้ในบราซิลสำหรับการซื้อตั๋วและเข้าร่วมกิจกรรมกรณีใช้สำหรับชีวภาพที่ได้รับการเติบโตของตลาดที่สำคัญในปี 2024 การตั้งค่าการเปิดตัวมากขึ้นในปีนี้
การรั่วไหลถูกค้นพบและกระบวนการเปิดเผยข้อมูลเริ่มขึ้นในวันที่ 30 มกราคมและช่องโหว่ถูกปิดในวันที่ 19 กุมภาพันธ์
หัวข้อบทความ
การควบคุมการเข้าถึง-ข้อมูลไบโอเมตริกซ์-การออกตั๋วไบโอเมตริกซ์-บราซิล-ความเป็นส่วนตัวของข้อมูล-การป้องกันข้อมูล-ใบหน้า-การตรวจสอบรหัส-การตรวจสอบตัวตน
