公开访问的生物识别数据库突出显示关键失败

安全团队透露，它能够访问超过一百万不受保护和未加密的指纹记录，以及存储在MET警察使用的生物识别访问控制系统的数据库中的面部识别信息。

结合个人详细信息，用户名和密码，犯罪活动和欺诈的可能性是大量的，VPNMENTOR团队在一项研究论文中表示，增加一旦被盗，指纹和面部识别信息就无法检索，可能影响所涉及的人民他们的生活。

研究论文详细说明了关于Biostar 2，基于Web的生物识别安全智能锁定平台，它使用面部识别和指纹技术来识别用户。

BioStar 2应用程序由生物识别访问控制公司Suprema建造，最近集成的BioStar 2进入其AEOS访问控制系统，该系统由83个国家的5,700多个组织使用，包括大型跨国公司，小型企业，政府，银行和英国大都市警察。

VPnmentor研究人员发现，BioStar 2 Elasticsearch数据库是未受保护的，并且主要是未加密的。他们可以通过使用弹性型搜索搜索引擎操纵搜索条件来搜索数据库。

研究人员表示，在两天后，将于2019年8月5日在2019年8月5日联系了BioStar，但在八月十三日之后，八月十三日之后只有一周才被阻止。

根据研究文件，VPnmentor团队能够访问超过2780万条记录，共有23千兆字节的数据，包括访问客户端管理面板，仪表板，后端控件和权限;指纹数据;面部识别信息和用户图像;未加密的用户名，密码和用户ID;员工详情;和移动设备信息。

“这种泄漏的更令人惊讶的方面之一是如何不安全的我们访问的帐户密码。大量帐户具有易嘲讽的密码，如“密码”和“ABCD1234”。研究论文说，这很难意识到这一点仍然没有意识到这使得这是一个让黑客访问他们的账户的容易。“

研究人员表示，考虑到其重要性，生物奥斯塔2存储了这些信息的无抵押方式是“令人担忧”，以及生物托盘2由安全公司建造的事实。

“而不是拯救指纹的哈希（不能逆向设计），他们正在拯救人们的实际指纹，可以复制恶意目的。

研究人员警告说：“把所有的数据放在泄漏中，各种各样的罪犯都可以使用这些信息，以便使用这些信息。”

研究报告称，BioStar 2的制造商未能采取“基本安全预防措施”，如更好的保护措施，保存散列版本的指纹版本，在数据库上实施适当的访问控制规则并需要强大的身份验证。

大都会警方的发言人告诉英国广播公司，它正在检查力量是否是受影响的组织之一，而信息专员办公室（ICO）表示已了解有关Biostar 2的报告，并将正在查询。

“由于西方的网络安全实践贫困的网络安全实践导致了可能接触网络罪犯的大量敏感个人信息，”亨斯曼安全产品管理负责人Piers Wilson表示。

“此类基本错误，包括未加密数据并轻松访问管理密码，很容易避免，并且应该有步骤更好地保护系统。此外，生物识别数据必须固定到最高标准，一旦违反此，就无法改变它。如果指纹被盗，那个人的个人生物识别数据已经损害了终身。

“这个发现只是为什么在所有企业中必须更严重地拍摄网络安全的另一个例子。为了更好地处理这个问题，网络安全必须成为会议室级问题 - 业务的每个部分都有真正的风险理解，“他说。

Ioactive战略安全服务总监John Sheehy表示，该发现强调了供应链安全的重要性。

“事实是：组织本身就越安全，组织的供应链越有吸引力就在攻击者的心中 - 而且你不能比政府，银行或警察部队更安全，”他说。

Sheehy表示，攻击者通常会查找进入网络的最简单的途径，因此通常是具有可利用漏洞的供应商，可以让它们完全访问原始目标的网络。

“大多数威胁演员，组织今天面临非常聪明。他们知道他们实际上并不需要利用一个复杂的复杂的供应链黑客在网络上肆虐，窃取数据或知识产权，或造成灾难性的损害。

“所有他们真正需要做的就是寻找弱点 - 例如纯文本密码，未被划分的服务器，未加密的数据和系统或发送简单的网络钓鱼电子邮件。

“这就是为什么，如果你没有保护自己的网络反对基本威胁行动者，那么尽职调查妥善补丁，并持有你的供应商负责保护自己的网络和加密数据，你没有希望保护国家国家他说，或者更有能力的威胁演员。“

RSA安全总裁Rohit Ghai表示，数据库泄漏最终来自公司的人为错误，管理数据库。

“因为它们通常不会恶意，因此在没有一个非常彻底的数字风险管理计划的情况下，它们可能很难阻止，这给了对外部内部威胁的同等程度的监督。

“增加了这一点，该方案强调了第三方风险和安全评估的关键性，因为数据流经组织数字生态系统的数据流动，”他说。

Guy Bunker，CTO在安全公司Clearswift中，当Biometrics首次成为身份验证的方法时，很少思考系统如何妥协。

“但是，与密码不同，改变手指，眼睛和脸部并不容易。随着生物识别技术的增加，保护数据的保护也是替代的能力，也经常被忽视。更换是您可以访问后端存储的位置，并且可以容易地将“您的”详细信息置于目标，然后成为它们，以便访问所要求的任何内容。

“在这个特殊的事件中，几乎所有可能发生的生物识别技术的可能问题实际上都有。在这样做时，全球数千个组织的数据被妥协以及一百万加人员。他说，“修复”在此期间不会快速或简单，因此潜在的进一步欺诈和恶意行为非常高，“他说。

对于没有受到这次发现影响的企业，地堡表示，立即需要检查它们是否使用任何形式的生物识别。

“您需要知道的是来自生物识别的数据是否以”RAW“形式存储或者已被转换。通过类比，用于以清除（可读）形式存储的密码，今天它们都是加密（转换），几乎不可能逆转工程师强密码。

“生物识别数据需要具有相同的情况发生在IT上 - 原始数据需要通过加密进行转换，从而无法颠倒设计。此外，需要保护该数据的系统，包括防止批量数据变化或生物识别记录更新。此发生的迹象可能是妥协的指标。

“可悲的是，这需要一个诸如此类的活动，为组织了解他们拥有的一些风险，他们与他们要么以前不知道的解决方案，”他说。

Tamara Quinn，International法律实践奥斯本克拉克的合作伙伴表示，企业还必须考虑出现在部署面部识别系统时产生的风险，因为他们需要采取适当的措施来遵守法律。

“面部识别和视频监督被一个复杂的法规网络涵盖，这并不容易导航，而且如果公司没有认真对待隐私，”她说，指出，在一般数据下，有声誉风险保护条例（GDPR），使用生物识别系统，如面部识别系统，由比普通的个人数据更严格的保障覆盖。

“对于许多公司来说，这意味着他们可能需要从扫描的每个人获得同意，并证明这些辛勤人员完全了解并自由地授予同意，没有压力或呈现不参与。

“随着ICO有希望更紧密地关注私募算法，使用涵盖公共区域的面部识别系统，企业现在应该采取行动，以确保他们的软件不会违法。这可以包括重新评估俯瞰街道，公共停车场或其他公共空间的外部摄像机的使用。

“并确保其系统遵守严格的法律要求，公司应该与这些系统的外部供应商的合同来，以确保他们有强有力的法律保护，”她说。