信息化觀察網(wǎng)

研究人員偶然發(fā)現(xiàn)了一個可公開訪問的生物識別數(shù)據(jù)庫，該數(shù)據(jù)庫暴露了超過一百萬人的指紋，以及大量其他個人數(shù)據(jù)。

網(wǎng)絡安全專家Noam Rotem和vpnMentor的Ran Locar 今天在博客文章中透露了令人震驚的發(fā)現(xiàn)。該數(shù)據(jù)庫屬于Suprema ID Inc.，這是一家韓國建筑物門禁管理技術制造商。該公司使用該系統(tǒng)存儲其Biostar 2生物識別鎖定產(chǎn)品的安裝數(shù)據(jù)。

Rotem和Locar在數(shù)據(jù)庫中發(fā)現(xiàn)了大約2780萬無人防守且大多數(shù)未加密的記錄。該工作包括指紋掃描，面部識別收集的面部照片，用戶名，密碼和日志，詳細說明使用Biostar 2的設施的人員來往。一些數(shù)據(jù)庫條目還包含其他個人信息，如就業(yè)記錄。

研究人員沒有輸入密碼來訪問信息。“公司[Suprema ID]使用Elasticsearch數(shù)據(jù)庫，該數(shù)據(jù)庫通常不是為URL使用而設計的，”Rotem和Locar寫道。“但是，我們能夠通過瀏覽器訪問它并操縱URL搜索標準以暴露大量數(shù)據(jù)。”

這并不是研究人員第一次發(fā)現(xiàn)存在于開放網(wǎng)絡中的數(shù)據(jù)庫中的敏感記錄。今年7月，一名網(wǎng)絡安全專家遇到了屬于本田汽車公司的無保護Elasticsearch部署，該部署包含1.34億內部記錄。埃森哲公司 ，Capital One Financial Corp.，F(xiàn)edEx Inc.和許多其他主要企業(yè)多年來一直參與類似的數(shù)據(jù)保護事故。

Suprema事件的不同之處在于研究人員還設法訪問了數(shù)據(jù)庫的管理控制臺。根據(jù)Rotem和Lucar的說法，黑客可能會濫用這個系統(tǒng)，讓他們自己未經(jīng)授權訪問全球的建筑物。

Suprema聲稱全球有超過150萬臺Biostar安裝。在一些設施中，該系統(tǒng)與AEOS一起部署，AEOS是政府，銀行和英國大都會警察使用的另一個訪問控制平臺。

據(jù) “衛(wèi)報” 報道，截至周三早些時候，Suprema關閉了安全漏洞。該公司營銷負責人Andy Ahn在發(fā)給該報的一份聲明中表示，“如果我們的產(chǎn)品和/或服務受到任何明確的威脅，我們將立即采取行動，并做出適當?shù)墓?，以保護我們客戶的寶貴業(yè)務和資產(chǎn)。“