Suprema Biostar 2的安全漏洞要報(bào)告

不幸的是，我們今天還有另一個(gè)安全漏洞要報(bào)告，而且這個(gè)漏洞涉及超過(guò)百萬(wàn)人不正當(dāng)保護(hù)的生物識(shí)別數(shù)據(jù)。該系統(tǒng)是Suprema Biostar 2平臺(tái)，用于保護(hù)全球的商業(yè)和政府建筑。

Vpnmentor安全研究人員Noam Rotem和Ran Locar發(fā)現(xiàn)了這一漏洞利用程序，該漏洞通過(guò)可公開(kāi)訪問(wèn)的數(shù)據(jù)庫(kù)提供指紋/面部識(shí)別數(shù)據(jù)以及未使用的密碼和用戶名?？偣部梢栽L問(wèn)近2800萬(wàn)條記錄，重量為23千兆字節(jié)。

我們能夠找到管理員帳戶的純文本密碼，”Rotem解釋說(shuō)。“數(shù)百萬(wàn)用戶正在使用該系統(tǒng)訪問(wèn)不同的位置，并實(shí)時(shí)查看哪個(gè)用戶進(jìn)入哪個(gè)設(shè)施或每個(gè)設(shè)施中的哪個(gè)房間，甚至。”

更令人擔(dān)憂的是，Rotem補(bǔ)充道，“我們能夠改變數(shù)據(jù)并增加新用戶。”在實(shí)踐中，研究人員可以將他們自己的指紋數(shù)據(jù)添加到數(shù)據(jù)庫(kù)或更改任何記錄中的現(xiàn)有指紋或面部信息因此，從理論上講，您可以將照片和指紋添加到數(shù)據(jù)庫(kù)中，并可以使用此漏洞訪問(wèn)安全設(shè)施。

考慮到Biostar 2平臺(tái)現(xiàn)在與全球83個(gè)縣使用的互補(bǔ)AEOS安全系統(tǒng)相關(guān)聯(lián)，這種安全漏洞的影響可能已經(jīng)深遠(yuǎn)?；鸺茖W(xué)家并沒(méi)有意識(shí)到，未經(jīng)授權(quán)的各方進(jìn)入商業(yè)和政府建設(shè)的安全區(qū)域是一種超越主要網(wǎng)絡(luò)安全威脅的更大的物理安全威脅。

一旦Vpnmentor團(tuán)隊(duì)接受調(diào)查結(jié)果，Suprema最初就沒(méi)有反應(yīng)。雖然Suprema從未直接回應(yīng)研究人員，但安全漏洞今天早上已經(jīng)關(guān)閉。然而，Suprema的發(fā)言人確實(shí)告訴“衛(wèi)報(bào)”，如果他們的任何數(shù)據(jù)被惡意方侵害，它會(huì)提醒客戶。此時(shí)，不知道肆無(wú)忌憚的黑客是否能夠在Rotem和Locar發(fā)現(xiàn)之前偷偷通過(guò)安全漏洞。