차례:
당신이 알아야 할 사항
- 두 명의 이스라엘 보안 연구원이 23GB 상당의 데이터가있는 암호화되지 않은 Biostar 2 데이터베이스를 발견했습니다
- 이 데이터에는 지문, 얼굴 스캔, 사용자 이름, 비밀번호 및 기타 백만 명 이상의 개인 정보가 포함되었습니다.
- 이 취약점은 이제 해결되었으며 회사는 정보에 대한 심층적 인 평가를 수행하고 있습니다.
지난주 이스라엘의 보안 연구원 인 노암 로템 (Noam Rotem)과 란 로카 (Ran Locar)는 암호화되지 않은 공개적으로 접근 가능한 Biostar 2 데이터베이스를 온라인에서 발견했습니다. 이 데이터베이스에는 지문, 얼굴 스캔, 사용자 이름 및 비밀번호, 백만 명 이상의 개인 정보가 포함되었습니다.
Biostar 2는 AEOS 액세스 제어 시스템과 통합 된 보안 회사 Suprema가 개발 한 생체 인식 잠금 시스템입니다. AEOS는 전 세계 83 개국, 정부, 은행 및 영국 수도 경찰을 포함한 5, 700 개의 조직에서 사용됩니다.
Rotem과 Locar는 vpnmentor와의 측면 프로젝트에서이 데이터베이스에 대해 "친숙한 IP 블록을 찾고있는 포트를 스캔 한 다음이 블록을 사용하여 잠재적으로 데이터 유출로 이어질 수있는 회사 시스템의 구멍을 찾습니다."
쌍은 Biostar 2의 데이터베이스를 찾은 후 데이터베이스를 검색하고 URL을 조작하여 데이터에 액세스 할 수있었습니다.
연구원은 27.8m가 넘는 기록과 관리자 패널, 대시 보드, 지문 데이터, 얼굴 인식 데이터, 사용자의 얼굴 사진, 암호화되지 않은 사용자 이름 및 비밀번호, 시설 액세스 로그, 보안 수준 및 클리어런스, 직원의 개인 정보.
가디언과의 대화에서 로템은 대부분의 사용자 이름과 비밀번호가 암호화되지 않았으며 데이터를 변경하고 새로운 사용자를 시스템에 추가 할 수 있다고 말했다.
수요일에 VPN에 게시되기 전에 Guardian에 제공된 발견에 관한 논문에서 연구원들은 미국과 인도네시아의 공동 작업 기관, 인도와 파키스탄의 체육관 체인, 의료 공급 업체의 데이터에 액세스 할 수 있다고 말했다. 영국, 핀란드의 주차 공간 개발자 등이 있습니다.
이 문제를 더욱 위험하게 만드는 것은 데이터베이스에 사람들의 지문이 포함되어 있다고 지적했다. 즉, 리버스 엔지니어링 할 수없는 지문 해시를 저장하는 대신 지문을 다른 사람이 복사하여 사용할 수 있습니다.
Rotem과 Locar는 지난 주 후반에 가디언에게 종이를 보내기 전에 Suprema에 연락을 여러 차례 시도했으며 수요일 아침 현재 취약점이 수정되었습니다. Andy Ahn Suprema의 마케팅 책임자는 회사가 정보에 대한 "심층 평가"를 수행하고 있다고 Guardian에 말했습니다.
제품 및 / 또는 서비스에 확실한 위협이 발생한 경우, 즉시 조치를 취하고 고객의 소중한 비즈니스 및 자산을 보호하기 위해 적절한 발표를합니다.
우리는 모두 보안 침해에 대한 뉴스 기사를 보았으며 과거에 이러한 공격 중 하나의 피해자 일 가능성이 높습니다. 일반적으로 암호를 변경해야하지만 생체 데이터와 관련하여 지문이나 얼굴 만 변경할 수는 없습니다.
Galaxy S10의 얼굴 인식은 얼마나 안전합니까?
