写点什么

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露

  • 2019-08-15
  • 本文字数:1852 字

    阅读完需:约 6 分钟

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露

2019 年 8 月 14 日,卫报发布了一篇报告,报告中称:在 Metropolitan Police、国防承包商和银行等公司使用的公共数据库中发现了超过百万人的指纹、面部识别信息、未加密的用户名、密码以及员工个人信息。

事件回溯

这个包含了数百万个指纹、面部识别信息,未加密的用户名、密码以及员工的个人信息的数据库是个未加密的 Elasticsearch 数据库,由研究人员 Noam Rotem 和 Ran Locar 共同发现。


Noam Rotem 和 Ran Locar 一直在与审查虚拟专用网络服务提供商 vpnotor 合作,通过运行 Side Project 来扫描端口,寻找熟悉的 IP 块,然后利用这些块来查找公司系统中可能导致数据泄露的漏洞。在上周的一次搜索中,研究人员发现 Biostar 2 的数据库没有受到保护,且大部分都是未加密的。他们通过操纵 Elasticsearch 中的 URL 搜索条件来搜索数据库,获取到了对数据的访问权限。


Suprema 是负责基于网络的 Biostar 2 生物识别锁定系统的安全公司,该系统允许集中控制对仓库或办公楼等建筑物的访问。Biostar 2 通过指纹和面部识别来辨别想要进入建筑物的人。上个月,Suprema 宣布将其 Biostar 2 平台集成到另一个门禁系统 - AEOS 中。AEOS 被 83 个国家的 5700 个组织使用,其中就包括前文中卫报提到的 Metropolitan Police、国防承包商和银行等。


据 Noam Rotem 介绍:“数据库中大部分用户名和密码都没有加密,我们甚至可以找到管理员账户的纯文本密码。同时,我们还可以看到数百万用户正在哪些位置访问该系统,并实时查看某个用户进入了哪个建筑物,甚至可以精确到建筑物的某个房间。另外,数据库中的数据还可被新增和修改,这意味着攻击者可以编辑现有的用户账户,并将其指纹替换成自己的指纹,进而获得访问相关建筑物的权限,也可以在数据库中新增自己的账户来获得相关权限。”


与用户名、密码之类的数据泄露不同,指纹、面部识别等生物识别数据的泄露更为严重,因为这类数据无法更改,一旦泄露可能会造成永久损害,并且,攻击者可利用这些信息开展各种犯罪活动。

相关进展

据了解,该不安全 Elasticsearch 数据库泄露的信息包括以下方面:


  • 访问客户端管理面板、仪表板、后端控制和权限;

  • 指纹数据;

  • 用户的面部识别信息和图像;

  • 未加密的用户名、密码和用户 ID;

  • 安全区域出入记录;

  • 从开始日期的员工记录;

  • 员工安全级别和许可;

  • 个人信息,包括员工住址和电子邮件;

  • 企业的员工结构和层次结构;

  • 移动设备和操作系统信息;


在发现漏洞之后,研究人员未能通过邮件及时联系到 Biostar 2。两天之后,他们打电话给德国分公司,但是对方说他们在挂断电话时表示:“没有与 vpnMentor 通话”。随后,研究人员又尝试联系到了法国分公司,该分公司采取了相关措施,关闭了漏洞数据库。


8 月 13 日,在距离 Biostar 2 首次收到警报的一周后,该漏洞数据库才被关闭。对于这样的反应速度,发现该漏洞的研究人员表示很失望。


研究人员建议 Biostar 2 客户立即更改仪表盘密码,并提示所有员工更改个人密码。另外,消费品上的大多数指纹扫描器都是未加密的,因此当黑客开发出复制指纹的技术时,他们将可以访问存储在您设备上的所有私人信息,例如消息、照片和付款方式。

如何保护 Elasticsearch 数据库

虽然这已经不是第一起因 Elasticsearch 不安全数据库导致的数据泄露,但是显然之前发生的数据泄露并没有给广大企业和用户敲响警钟。其实,想要阻止数据泄露并非是件难以完成的事情,之前我们在采访 Elasticsearch 中文社区深圳分会杨振涛时,他给出了几个最基本的低成本措施:


1)服务器必须要有防火墙,不能随意对外开放端口;


2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;


3)Elasticsearch 集群禁用批量删除索引功能;


4)Elasticsearch 中保存的数据要做基本的脱敏处理;


5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低 。


如果是在没有任何保护措施下造成的数据泄露,那么要在第一时间尽快恢复服务;如果泄露原因是 Elasticsearch 宿主服务器安全性太低,那么第一时间要为服务器做安全加固,比如开启防火墙,拒绝非授权端口的访问,修改 root 密码,禁用密码直接登录服务器,而是通过 SSH KEY 来登录等;如果发生了极端情况,泄露的数据包含用户账号信息,那么要在第一时间通知用户修改密码,甚至在登录模块强制用户重置密码后才可登录。


参考链接:


https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms


https://techerati.com/news-hub/biometrics-data-police-breach-cyber/


2019-08-15 11:559697
用户头像

发布了 497 篇内容, 共 336.7 次阅读, 收获喜欢 1927 次。

关注

评论

发布
暂无评论
发现更多内容

阿里巴巴1688 API接口深度解析:高效获取商品详情与关键词搜索商品策略

代码忍者

1688API接口

从AI生成内容到虚拟现实:娱乐体验的新边界

天津汇柏科技有限公司

增强现实 VR虚拟现实 AI 人工智能

正式开源,Doris Operator 支持高效 Kubernetes 容器化部署方案

SelectDB

数据库 数据分析 部署 Kubernetes Serverless 容器化部署

CorelDRAW 2024:引领设计新纪元,探索无限创意可能

Rose

Microsoft OneNote 2024 for Mac 汉化破解版 附永久许可证

Rose

三大智能体平台对比分析:FastGPT、Dify、Coze 哪个更适合你?

测试人

软件测试

TG Pro (终极 Mac 风扇控制和温度监控) v2.94

Rose

Aurora DSP GateMate for mac(创新降噪插件) v1.0.0激活版

Rose

BOE(京东方)顺利完成新一届管理团队聘任 创新人才战略启幕发展新篇

爱极客侠

CST软件如何计算天线系数Antenna Factor-达索官方授权

思茂信息

cst cst操作 CST软件

AIP智能体平台:开启AI技术的新篇章

大东(AIP内容运营专员)

人工智能

高清蓝光播放器Tipard Blu-ray Player for Mac:极致视听,尽在掌握

Rose

社交软件红包技术解密(五):微信红包系统是如何实现高可用性的

JackJiang

网络编程 即时通讯 IM

PullTube for Mac 在线视频下载器 1.8.5.53 激活版

Rose

视频无损放大修复工具Topaz Video AI v6.0.2激活码 for Mac安装教程

Rose

BetterDisplay Pro for Mac:极致视觉体验,尽在掌控

Rose

2025全球计算大会启幕:全球计算联盟“新型计算引领数智社会新航向”

新消费日报

高效简洁的Markdown编辑器 MarkEdit for mac激活版

Rose

音频后期混音套件 Waves Ultimate 15 v14.01.2025 新功能介绍

Rose

VMware Fusion Pro 13:虚拟化新境界,Mac上的全能助手

Rose

AI智能体在自动化测试中的应用

测吧(北京)科技有限公司

测试

智能简历筛选系统:AIP打造高效招聘新纪元

大东(AIP内容运营专员)

人工智能

探索基于大语言模型的多智能体系统:AIP智能体平台引领新纪元

大东(AIP内容运营专员)

人工智能

DNS故障是怎么回事?DNS故障怎么解决?

国科云

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露_数据库_田晓旭_InfoQ精选文章