Suprema Biostar 2的安全漏洞要報告

不幸的是，我們今天還有另一個安全漏洞要報告，而且這個漏洞涉及超過百萬人不正當(dāng)保護(hù)的生物識別數(shù)據(jù)。該系統(tǒng)是Suprema Biostar 2平臺，用于保護(hù)全球的商業(yè)和政府建筑。

Vpnmentor安全研究人員Noam Rotem和Ran Locar發(fā)現(xiàn)了這一漏洞利用程序，該漏洞通過可公開訪問的數(shù)據(jù)庫提供指紋/面部識別數(shù)據(jù)以及未使用的密碼和用戶名。總共可以訪問近2800萬條記錄，重量為23千兆字節(jié)。

我們能夠找到管理員帳戶的純文本密碼，”Rotem解釋說。“數(shù)百萬用戶正在使用該系統(tǒng)訪問不同的位置，并實時查看哪個用戶進(jìn)入哪個設(shè)施或每個設(shè)施中的哪個房間，甚至。”

更令人擔(dān)憂的是，Rotem補(bǔ)充道，“我們能夠改變數(shù)據(jù)并增加新用戶。”在實踐中，研究人員可以將他們自己的指紋數(shù)據(jù)添加到數(shù)據(jù)庫或更改任何記錄中的現(xiàn)有指紋或面部信息因此，從理論上講，您可以將照片和指紋添加到數(shù)據(jù)庫中，并可以使用此漏洞訪問安全設(shè)施。

考慮到Biostar 2平臺現(xiàn)在與全球83個縣使用的互補(bǔ)AEOS安全系統(tǒng)相關(guān)聯(lián)，這種安全漏洞的影響可能已經(jīng)深遠(yuǎn)?；鸺茖W(xué)家并沒有意識到，未經(jīng)授權(quán)的各方進(jìn)入商業(yè)和政府建設(shè)的安全區(qū)域是一種超越主要網(wǎng)絡(luò)安全威脅的更大的物理安全威脅。

一旦Vpnmentor團(tuán)隊接受調(diào)查結(jié)果，Suprema最初就沒有反應(yīng)。雖然Suprema從未直接回應(yīng)研究人員，但安全漏洞今天早上已經(jīng)關(guān)閉。然而，Suprema的發(fā)言人確實告訴“衛(wèi)報”，如果他們的任何數(shù)據(jù)被惡意方侵害，它會提醒客戶。此時，不知道肆無忌憚的黑客是否能夠在Rotem和Locar發(fā)現(xiàn)之前偷偷通過安全漏洞。