据称,暴露澳大利亚金融机构敏感证书的脆弱性已被关闭OCR实验室,在被发现和披露之后网络新闻研究人员。报告称,OCR实验室使用的生物识别检测API是暴露的数据之一。
但是,OCR实验室对报告中的详细信息提出了疑问生物识别更新API用于创建短暂的会话,一旦完成就无法召回。因此,无法访问个人身份信息。
OCR实验室的Apac GM Paul Warren-Tape说:“我们的任何系统中从来没有数据泄漏或违反。”生物识别更新。
通过OCR Labs产品使用的错误配置和公共访问的环境文件,可以访问数据idkit.com,通过自拍生物识别技术提供银行级的身份验证。该文件包括数据库凭据,包括用于访问Amazon Web服务和简单队列服务(SQS)以及API键。
澳大利亚的QBank主要迎合政府机构工人,为国家武装部队服务的国防银行和住宅抵押提供商MA货币都受到影响。据Cybernews称,英国的花钱和海军上将金钱以及招聘服务里德也受到影响。
Qbank在一份声明中说:“第三方网络安全专家的调查明确地得出结论,在任何阶段,对Qbank成员数据都有任何威胁。”
OCR实验室说,立即学习它的脆弱性,需要采取一切必要的步骤。公司遵循漏洞披露计划(VDP)框架,以确保透明度和安全性。
泄漏的数据包括用于LIVICE和信用报告机构Experian的API键,以及用于KYC检查的OCR Labs的Engine V4的证书,因此可以连接到敏感的客户数据。
OCR实验室的内部调查显示,任何客户数据的安全性没有风险。
沃伦·塔普(Warren-Tape)表示:“经过广泛的调查,我们可以毫无疑问地确认与无效和占位符的凭证有关的发现的配置是针对未使用的演示和占位符环境的。这些都是非生产环境,并且对客户数据或我们的系统的安全没有任何风险。”
他还指出,OCR实验室承认有必要确保“具有无效凭证”的“演示或占位符环境”,因为它具有生产环境。
该公司表示,现在就澳大利亚网络安全中心的建议就据称不准确的报告寻求独立的法律建议。
OCR实验室最近被批准为英国的diatf工作权检查。
