互联网隐私研究人员发现,来自许多国家 /地区成千上万组织的公开曝光,未加密生物识别指纹和面部图像的庞大数据库。 VPNMentor的研究人员发现,他们可以从Biostar 2物理访问控制系统访问数据库最高,并发现了超过100万的指纹记录以及面部识别数据博客文章。
根据研究人员Noam Rotem和Ran Locar的说法,除了生物识别技术外,安全漏洞还暴露了个人信息以及未加密的用户名和密码。他们的团队能够访问2780万张记录和23千兆字节的数据,而这些数据似乎没有被牢固地进行。研究人员还指出,在暴露的凭据中发现了许多简单且无安全的密码。但是,与密码不同的生物识别数据未被满足,无法更改。
违规行为是在8月5日发现的,供应商于8月7日联系,违规行为于8月13日关闭。
研究人员能够找到管理员帐户的凭据,并在数据库中更改或添加条目,从而提高了恶意演员可以利用违规行为闯入生物图统保护的建筑物或房间以及其他系统的可能性。
罗特姆告诉监护人该股份远非唯一一家在线脆弱数据的公司。
他说:“这很普遍。实际上有数百万个开放系统,经过它们是一个非常乏味的过程。” “某些系统非常敏感。”
Rotem补充说:“错误发生,真正的测试是您处理它们的方式。”
Biostar 2什么最近整合了NEDAP的AEOS访问控制系统为英国大都会警察,大型跨国公司,政府和银行提供服务。
营销主管安迪·安(Andy Ahn)告诉《卫报》,该公司对《违规报告》进行了“深入评估”。
Ahn说:“如果对我们的产品和/或服务有任何明确的威胁,我们将立即采取行动,并发表适当的公告来保护客户的宝贵业务和资产。”
Ahn在一封电子邮件的发表声明中说:“ Suprema Inc.意识到媒体上有关其Biostar 2平台以及所谓的未经授权的涉及VPNMentor的数据的报告。该公司非常认真地对其进行此类报告。在适当的时候,包括迄今为止报告中对任何错误断言的纠正。”
数字障碍首席执行官Zak Doffman在一篇文章中写道福布斯向大量组织提供生物识别信息会产生风险,实际上是“某种统一平台”,以限制存储的生物识别数据的实例数量,而其他各方则可以“作为服务”获得访问权限。
2019年8月15日下午3:35更新了Suprema的声明。
