身份验证使用的一系列文件,包括用于面部生物识别技术的自拍照,被FacePass应用中的漏洞暴露出来,然后在研究人员通知开发人员后修复。
facepass根据报告,在巴西广泛使用,这就是为什么160万个文件包含许多巴西国家ID和纳税人注册表(CFP)数字的原因。自拍照,全名,电话号码和公司的系统凭据也被暴露。网络新闻报告其研究团队在AWS S3存储桶中找到了这些文件。
Cybernews指出,在Excel文件中找到了名称和ID,这使得它们更容易实施欺诈或执行量身定制的网络钓鱼方案并在深色网上出售。
“这种暴露数据的trove将用户处于认同盗用,财务欺诈和有针对性的网络钓鱼攻击的巨大风险中。网络犯罪分子可以利用国家ID和自拍照来绕过生物识别验证系统,模拟受害者或获得未经授权的财务账户访问权限,” Cybernews研究人员说。”
如果将数据存储在单独的位置或创建参考模板后删除的自拍照,则可能会大大减少潜在的损坏。
发现的AWS凭据也可以用于访问公司系统,然后提取,更改或删除用户数据。
FacePass主要用于巴西购买门票和参加活动,这是生物识别技术的用例主要市场增长在2024年,今年设置了更多的推出。
发现了泄漏,并于1月30日启动了披露过程,并于2月19日关闭了漏洞。
