安全漏洞導致Suprema Biostar 2百萬人指紋資料曝光

近年來發生的多起大規模資訊洩露事件，使得網路使用者不得不修改那些不再安全的賬戶密碼。但若安全性更高的指紋資料被曝光，那後果就更加嚴重了。遺憾的是，這正是 Suprema Biostar 2 指紋鎖身上所發生的事情。據悉，研究人員在 Suprema 的系統中發現了一個安全漏洞，使之能夠訪問超過 100 萬人的身份驗證資料。

（圖自：vpnMentor，via BGR）

英國《衛報》指出，這些資料包括了指紋 / 面部識別資料、未加密的使用者名稱和密碼、甚至員工的個人資訊。

鑑於 Suprema 生物識別認證系統有許多企業和公共機構大客戶 —— 其中包括英國大都會警察局、國防承包商和銀行 —— 甚至傷害美國、巴基斯坦、芬蘭、印尼等地的跨國企業。

以色列研究人員 Noam Rotem、Ran Locar 與 vpnmentor 一起尋找到了 Suprema 的安全漏洞，並且獲得了 Biostar 2 資料庫的訪問許可權。

最令人震驚的是，在獲得訪問許可權後，安全研究人員發現該資料庫缺乏應有的保護，且大多資料處於未加密的儲存狀態，很容易訪問到總量超過 2780 萬條（23GB+）的記錄。

除了敏感資訊，安全研究人員還能夠輕鬆監控儲存的生物識別資料的實際使用情況。比如實時檢視哪個使用者通過特定的安全門進入任何設施，甚至檢視到管理員賬戶的密碼。

此外，研究人員能夠編輯某人的帳戶，在其中加入自己的指紋。因此從理論上來講，攻擊者可以突破所有需要授權進入的地方。

更令人不安的是，研究人員發現密碼資料根本沒有受到任何保護，使得黑客能夠輕易複製指紋資料、並將之用於惡意目的。其在一篇論文中寫到：

Suprema 未採用無法進行逆向工程的雜湊式指紋資料儲存，而是偷工減料得讓攻擊者能夠輕易複製實際的指紋資料、並將之用於惡意的目的。

即便如此，Suprema 營銷主管 Andy Ahn 還是在接受《衛報》採訪時稱：此事並沒有什麼可擔心的。

我司已對 vpnmentor 的報告進行了‘深入評估’，若威脅確實存在，Suprema 會立即採取行動併發布適當的公告，以保護我司客戶寶貴的業務和資產。

然而目前尚不清楚是否有其他人在安全研究人員之前發現了同樣的問題，並對這批資料展開了濫用。

作者：cnBeta.COM