目次:
知っておくべきこと
- イスラエルの2人のセキュリティ研究者が、23GBのデータを持つ暗号化されていないBiostar 2データベースを発見しました
- データには、100万人以上の指紋、顔のスキャン、ユーザー名、パスワード、およびその他の個人情報が含まれていました。
- この脆弱性は現在クローズされており、会社は情報の詳細な評価を行っています。
先週、イスラエルのセキュリティ研究者であるNoam RotemとRan Locarは、ほとんど暗号化されていない一般にアクセス可能なBiostar 2データベースをオンラインで発見しました。 データベースには、100万人以上の指紋、顔のスキャン、ユーザー名とパスワード、および個人情報が含まれていました。
Biostar 2は、セキュリティ会社Supremaが開発した生体認証ロックシステムで、AEOSアクセスコントロールシステムと統合されています。 AEOSは、たまたま世界中の83か国と、政府、銀行、英国警視庁を含む5, 700の組織で使用されています。
RotemとLocarは、vpnmentorとのサイドプロジェクトでこのデータベースで発生し、「おなじみのIPブロックを探しているポートをスキャンし、これらのブロックを使用して、データ漏洩につながる可能性のある企業システムの穴を見つけます」。
ペアがBiostar 2のデータベースを見つけた後、彼らはデータベースを検索し、URLを操作してデータにアクセスすることができました。
研究者は、2, 780万件を超えるレコードと、管理パネル、ダッシュボード、指紋データ、顔認識データ、ユーザーの顔写真、暗号化されていないユーザー名とパスワード、施設へのアクセスのログ、セキュリティレベルとクリアランスを含む23ギガバイトのデータにアクセスしました。およびスタッフの個人情報。
Guardianに話しかけたところ、Rotemは、ユーザー名とパスワードのほとんどは暗号化されておらず、データを変更したり、システムに新しいユーザーを追加したりできると述べました。
水曜日にvpnmentorによって公開される前にGuardianに提供された発見についての論文で、研究者は、米国とインドネシアの共同作業組織、インドとパキスタンのジムチェーン、英国、フィンランドの駐車スペース開発会社などがあります。
これをさらに危険にしているのは、データベースに人の指紋が含まれていることを研究者が指摘していることです。 つまり、リバースエンジニアリングできない指紋のハッシュを保存する代わりに、指紋を他の人がコピーして使用できることを意味します。
RotemとLocarは、先週遅くにGuardianに論文を送信する前にSupremaに連絡しようと何度も試みましたが、水曜日の朝に脆弱性は修正されました。 Supremaのマーケティング責任者であるAndy AhnはGuardianに、会社は情報の「詳細な評価」を行っており、
当社の製品および/またはサービスに明確な脅威があった場合、直ちに行動を起こし、お客様の貴重なビジネスと資産を保護するために適切な発表を行います。
私たちは皆、セキュリティ侵害に関するニュース記事を見てきましたが、過去にこれらのいずれかの被害者であった可能性が高いです。 通常、パスワードを変更する必要がありますが、バイオメトリックデータに関しては、指紋や顔を変更することはできません。
Galaxy S10の顔認識はどれくらい安全ですか?
