جدول المحتويات:
ما تحتاج إلى معرفته
- اكتشف باحثان أمنيان إسرائيليان قاعدة بيانات Biostar 2 غير مشفرة تحتوي على بيانات تبلغ قيمتها 23 جيجابايت
- تضمنت البيانات بصمات الأصابع ومسح الوجه وأسماء المستخدمين وكلمات المرور وغيرها من المعلومات الشخصية لأكثر من مليون شخص.
- تم الآن إغلاق الثغرة الأمنية وتقوم الشركة بإجراء تقييم متعمق للمعلومات.
في الأسبوع الماضي ، اكتشف باحثو الأمن الإسرائيليون نعوم روتم وران لوكار قاعدة بيانات Biostar 2 غير المشفرة في الغالب والتي يمكن الوصول إليها للجمهور عبر الإنترنت. تضمنت قاعدة البيانات بصمات الأصابع ومسح الوجه وأسماء المستخدمين وكلمات المرور والمعلومات الشخصية لأكثر من مليون شخص.
Biostar 2 هو نظام قفل القياسات الحيوية تم تطويره بواسطة شركة الأمان Suprema التي تتكامل مع نظام التحكم في الوصول AEOS. يحدث استخدام AEOS في 83 دولة حول العالم و 5700 مؤسسة ، بما في ذلك الحكومات والبنوك وشرطة العاصمة البريطانية.
حدث Rotem و Locar في قاعدة البيانات هذه أثناء مشروع جانبي مع vpnmentor حيث قاموا بفحص "المنافذ التي تبحث عن كتل IP مألوفة ، ثم استخدموا هذه الكتل للعثور على ثغرات في أنظمة الشركات التي يمكن أن تؤدي إلى خرق البيانات."
بعد أن عثر الزوج على قاعدة بيانات Biostar 2 ، تمكنوا من البحث في قاعدة البيانات ومعالجة عناوين URL للوصول إلى البيانات.
تمكن الباحثون من الوصول إلى أكثر من 27.8 مليون سجل ، و 23 غيغا بايت من البيانات بما في ذلك لوحات الإدارة ، ولوحات المعلومات ، وبيانات بصمات الأصابع ، وبيانات التعرف على الوجه ، وصور الوجه للمستخدمين ، وأسماء المستخدمين وكلمات المرور غير المشفرة ، وسجلات الوصول إلى المنشأة ، ومستويات الأمان والتخليص ، والتفاصيل الشخصية للموظفين.
في حديثه إلى الجارديان ، قال روتم إن معظم أسماء المستخدمين وكلمات المرور كانت غير مشفرة وأنها كانت قادرة على تغيير البيانات وإضافة مستخدمين جدد إلى النظام.
في الورقة التي تناولت الاكتشاف الذي تم توفيره لـ "الجارديان" قبل نشره بواسطة vpnmentor يوم الأربعاء ، قال الباحثون إنهم كانوا قادرين على الوصول إلى البيانات من المنظمات العاملة في الولايات المتحدة وإندونيسيا ، وهي سلسلة ألعاب رياضية في الهند وباكستان ، وهي مورد للأدوية في المملكة المتحدة ، ومطور مساحة مواقف السيارات في فنلندا ، من بين أمور أخرى.
ما يجعل هذا أكثر خطورة ، وأشار الباحثون إلى أن قاعدة البيانات تتضمن بصمات الناس. وهذا يعني أن بصمة يمكن نسخها واستخدامها من قبل الآخرين ، بدلا من تخزين تجزئة من بصمة لا يمكن هندستها عكسيا.
قام Rotem و Locar بمحاولات متعددة للاتصال بـ Suprema قبل إرسال ورقتهما إلى Guardian أواخر الأسبوع الماضي ، واعتبارًا من صباح الأربعاء ، تم إصلاح الثغرة الأمنية. صرح رئيس التسويق في Suprema ، آندي Ahn ، لصحيفة الغارديان أن الشركة تقوم "بتقييم متعمق" للمعلومات و:
إذا كان هناك أي تهديد محدد لمنتجاتنا و / أو خدماتنا ، فسنتخذ إجراءات فورية ونصدر إعلانات مناسبة لحماية أعمالنا وموجودات عملائنا القيمة.
لقد رأينا جميعًا قصصًا إخبارية عن انتهاكات أمنية ، وعلى الأرجح كنت ضحية واحدة من هذه في الماضي. عادة ما يتطلب منك تغيير كلمة المرور الخاصة بك ، ولكن عندما يتعلق الأمر ببياناتك البيومترية ، لا يمكنك فقط تغيير بصمتك أو وجهك.
ما مدى أمان التعرف على الوجه على جهاز Galaxy S10؟
