链闻消息,生物识别安防公司 Suprema 被发现存在安全漏洞,由于该公司采用包括指纹和面部识别的 Biostar 2 生物识别技术为银行、伦敦警察厅和国防企业提供服务,这意味着超过一百万人的生物识别数据存在很大的安全隐患。就在上个月,该公司的 Biostar 2 平台在集成了另一个门禁系统 AEOS,AEOS 被来自 83 个国家的 5,700 个组织使用,包括括政府,银行和英国大都会警察。上周,以色列安全研究人员 Noam Rotem 和 Ran Locar 测试发现 Biostar 2 的数据库存在数据泄漏的漏洞,可以通过操纵 Elasticsearch 中 URL 搜索条件来搜索数据库,以获取对数据的访问权限。研究人员发现,登录系统后可以访问超过 2780 万条超过 23G 的数据记录,包括指纹和面部识别数据、用户面部照片、未加密用户名和密码、设施访问日志、安全级别和许可以及员工个人详细信息。数据库中的大部分用户名和密码都没有加密,甚至管理员帐户的密码都是明文显示。这意味着,甚至可以轻松登入该系统修改个人和他人的生物识别数据。目前该漏洞已修复,研究人员表示,这种问题并不是 Suprema 所独有的,实际上非常普遍,很多都是全球 500 强。

来源链接