当前位置: > 华宇总代理 > 正文
正文
vpnMentor是一家提供虚拟私有网络评论的公司。该公司的研究人员周三报告说,隶属于Suprema的BioStar 2生物特征安全数据库发生了一次数据泄露,涉及近2800万条记录。
“生物之星2号的数据库是开放的、不受保护的、未加密的,华宇1956代理”vpnMentor在一封由公司一名自称“盖伊”的员工提供给TechNewsWorld的电子邮件中说。
vpnMentor说:“在我们联系他们之后,他们关闭了泄漏。”
BioStar 2是Suprema基于网络的、开放的、集成的安全平台。
泄露于8月5日被发现,vpnMentor于8月7日联系了Suprema。泄漏已于8月13日关闭。
是什么了
vpnMentor团队获得了对客户管理面板、仪表板、后端控制和权限的访问,最终暴露了23 GB的记录:
指纹数据;
用户的面部识别信息和图像;
未加密的用户名、密码和用户id;
出入安全区域的记录;
员工记录,包括入职日期;
员工的安全级别和权限;
个人信息,包括员工的家庭住址和电子邮件;
企业的员工结构和等级制度;和
移动设备和操作系统信息。
该团队能够访问来自世界各地各种企业的信息:
美国组织工会会员之家,Lits链接和凤凰医疗;
英国相关聚合物资源、Tile Mountain和Farla Medical;
芬兰欧元公园;
日本的Inspired.Lab;
比利时Adecco的人员;和
德国的Identbase.de。
vpnMentor发现暴露的数据将使任何可能获得它的罪犯可以完全访问BioStar 2的管理帐户。这将使犯罪分子获得高级帐户的完整用户权限和安全许可;在网络范围内更改安全设置;并创建新的用户帐户,完成面部识别和指纹,以获得进入安全区域的权限。
这些有问题的数据还将允许黑客劫持用户账户,并改变其中的生物特征数据,以进入限制区域。他们可以访问活动日志,这样就可以隐藏或删除他们的活动。被盗的数据将使钓鱼运动针对高层次的个人,并使钓鱼更容易。
万事达卡(Mastercard)公司NuData Security的认证策略师罗伯特•卡普斯(Robert Capps)指出:“消费者在这方面无能为力,因为你无法真正改变你的指纹或面部结构。”
然而,数据窃取者需要访问消费者的设备才能在该级别上实施生物认证欺诈。
“数据不是免费的,”露西安全公司的首席执行官科林·巴斯塔布尔指出。
“捕捉它是一种责任。如果你买不起,就别买了。”
密码的保管和输入
vpnMentor指出,许多账户的密码都很简单,比如“password”和“abcd1234”。
“我找不到任何理由在现实世界的应用程序中使用这样的密码,”Bastable说。
然而,“这些密码今天仍然被消费者使用,”Capps告诉TechNewsWorld。“也有可能这些是账户创建时设置的默认密码,但从未更改过。”
Capps说,在任何情况下使用简单的密码都是“一个非常糟糕的主意”。“最好是创建一个容易记住的复杂密码,或者使用密码管理器创建一个单一账户特有的高度复杂的密码。”
他指出,安全、可靠的密码存储的最佳实践和标准“已经存在了几十年”。
vpnMentor团队很容易查看BioStar 2数据库中与其他帐户一起使用的更复杂的密码,因为它们是作为纯文本文件存储的,而不是安全散列的。
“如果(这)是真的,那么这是安全实践的根本失败,”Bastable说。“并不是说加密是一门失传的艺术,也不是说它贵得可怕。”
Capps提醒说,密码永远不应该以纯文本的形式存储。如果使用弱算法或短密码,即使是散列密码也会成为问题。
“许多较弱的哈希算法都有‘彩虹表’——针对简单文本字符串预先计算的哈希结果——允许将哈希后的密码映射回它们的明文格式,”他解释说。“这允许简单地恢复一些散列数据。”
更大的危险
今年春天,Suprema宣布将其BioStar 2解决方案与来自Nedap的AEOS访问控制系统集成。
83个国家的5700多个组织使用AEOS。这些实体包括企业、政府、银行和英国大都会警察局(UK Metropolitan police)。
集成是如此无缝,运营商可以继续在AEOS工作,以管理手指登记和生物特征识别,而无需切换屏幕。生物特征信息存储在BioStar中,并与AEOS持续同步。SSL证书保护同步。
Nedap和Suprema的客户都需要处理异常多样化的安全需求。
这使得项目的实施在本质上变得复杂。这种集成的主要目标一直是提供一个真正灵活的、可扩展的、易于实现和维护的解决方案,”Nedcap的联盟经理Ruben Brinkman说。
这是一个大问题。便利的实现往往以牺牲安全为代价,华宇1956代理”Bastable说。“当你与另一种技术无缝集成时,你就采用了他们的安全实践,并将这些实践传递给你的客户。”
合并两家公司技术的第一个项目正在筹备中。
“总的来说,生物特征验证仍然是有效和安全的。”“个别实现可能是可疑的,这取决于实现的复杂性、安全性和前瞻性设计。”
生物识别系统和安全性
“可悲的是,有一种假设认为,提供(生物识别)技术的安全公司本身就是安全美德的典范,”露西安全公司的Bastable说。
“问他们数据安全的难题。不要相信,但要核实,因为你自己的安全依赖于第三方供应商和合作伙伴,”他建议。
“加密”,东山再起的补充道。使用硬件密钥安全。标记。制定一个合理的政策,对其进行测试,不要让那些滥用权限的超级用户进入。”
版权保护: 本文由 原创,转载请保留链接: http://www.allart.com.cn//cms/2019/1017/316.html