在银行和Met警察使用的系统中发现了大规模的生物识别数据泄露

 
更新：信息专员办公室已确认其了解该报告，并将对此事件进行调查
生物识别数据，未加密的密码以及超过一百万人的个人数据已被发现，这些数据位于一个公共可访问的数据库中，该数据库属于为英国大都会警察局和银行集团提供服务的公司。
除了数据窃取之外，据信，如果被利用，黑客可以利用这些信息操纵控制系统，使其进入安全设施。
该数据库与Biostar 2生物识别系统相关联，这是一个基于Web的集中锁定应用程序，允许管理员创建受控访问点以保护设施。 Biostar 2由安全公司Suprema拥有和运营，收集进入建筑物的人员的面部识别和指纹数据。
Suprema上个月宣布，它将把Biostar 2整合到其他访问控制系统AEOS中，其中一个据称被83个国家的超过5,700个组织使用，其中包括Met警察。
根据网络安全研究人员和道德黑客Noam Rotem和Ran Locar今天发布的报告，他们与VPN评论网站vpnMentor一起工作，发现该漏洞是网络映射项目的一部分。这旨在扫描熟悉的IP块的端口，然后使用它们来测试漏洞。
作为该项目的一部分，他们偶然发现了Biostar 2系统，很快发现敏感信息数据库未加密并公开发布。使用Elasticsearch在数据库中导航，研究人员能够访问超过2780万条记录，总计23GB。
据该团队称，数据库中都有指纹数据，面部识别信息和用户图像，未加密的密码和用户名，员工记录，电子邮件和家庭地址，移动设备信息以及与组织层次结构相关的数据。
该团队在接受“卫报”采访时透露，通过分析数据，他们可以看到谁实时要求访问安全网站。
“我们能够找到管理员帐户的纯文本密码，”Rotem说。 “访问允许首先看到数百万用户正在使用该系统访问不同的位置，并实时查看哪个用户进入哪个设施或每个设施中的哪个房间，甚至。”
访问意味着他可以更改与这些安全设施相关联的用户ID，甚至编辑帐户以分配他自己的指纹，授予自己对建筑物的授权访问权限。
研究人员还指出，很大一部分未加密的密码“非常简单”，通常遵循简单的字符串，如’abcd1234’，在某些情况下，还有’密码’。那些更复杂的东西被Biostar 2用纯文本存储的事实所取消。
“该团队解释说：”它不是保存指纹的散列(不能进行逆向工程)，而是节省人们可以复制用于恶意目的的实际指纹。“
据该团队称，据信Biostar 2在全球范围内安装了超过150万件，所有这些设备都容易受到泄漏的影响。这可能会使数千万用户面临数据丢失的风险。
该团队表示，他们已尽早与Suprema联系进行调查，然而，他们发现该公司“通常非常不合作”，许多联系企图都没有得到答复。直到该团队与Suprema的法国分支机构取得联系，他们的报告得到了承认，并且已经开展工作以堵塞违规行为。
据说Suprema未能采取基本的安全预防措施以避免违反此类规定。研究人员已经敦促公司检查他们的数据库是否受到公共访问保护，并且任何高度敏感的数据(如指纹)都会保存为哈希而不是原始形式。
研究团队还敦促使用Biostar 2的公司直接联系Suprema，并立即更改每个用户的仪表板密码。
IT Pro已联系大都会警察局和一些可能受此违规行为影响的公司征求意见。
英国DIY和瓷砖专家Tile Mountain是众多据称受到破坏影响的公司之一。在IT Pro看到的一份声明中，该公司表示自2018年2月以来它并不是一个活跃的Suprema客户，并且该日期的所有生物识别数据都已在内部服务器上进行了测试。