最近,在安全平台BioStar 2中出现了一个空前绝后的数据泄露事件。
BioStar 2是一个基于Web的生物识别安全智能锁定平台。它是一个集中式应用程序,允许管理员控制对安全设施区域的访问,管理用户权限,与第三方安全应用程序集成以及记录活动日志。 作为生物识别软件的一部分,BioStar 2使用面部识别和指纹识别技术来识别用户。
该应用程序由世界50大安全制造商之一Suprema构建,在EMEA地区的生物识别访问控制市场份额最高。Suprema最近与Nedap合作,将BioStar 2整合到他们的AEOS门禁系统中。 AEOS被83个国家的超过5,700个组织使用,包括一些最大的跨国企业,许多小型本地企业,政府,银行,甚至英国大都会警察局。
泄露事件中泄漏的数据包括员工的详细个人信息和未加密的用户名和密码,所以黑客使用BioStar 2设施的用户帐户和权限可直接。恶意代理可以利用此功能入侵安全设施并操纵其安全协议进行犯罪活动。
具体包括如下信息:
· 访问客户端管理面板,仪表板,后端控件和权限
· 指纹数据
· 面部识别信息和用户图像
· 未加密的用户名,密码和用户ID
· 进入和退出安全区域的记录
· 员工记录包括开始日期
· 员工安全级别和许可
· 个人详细信息,包括员工家庭住址和电子邮件
· 企业的员工结构和层次结构
· 移动设备和操作系统信息
此次泄密危害重大,涉及到很多相关企业和组织,以及他们的员工。有超过100万条指纹记录(一旦被盗,无法更改)以及面部识别信息被泄露,再结合个人详细信息,用户名和密码,很有可能造成犯罪活动和欺诈。一旦被盗,后果不堪设想。
在我们发现BioStar 2数据库中的漏洞后,我们联系了该公司,提醒他们我们的调查结果。
这种泄漏的一个更令人惊讶的方面是我们访问的帐户密码是如何不安全的。很多帐户都有简单易懂的密码,比如“密码”和“abcd1234”。很难想象人们仍然没有意识到这会让黑客访问他们的帐户变得多么容易。
当然,许多用户确实创建了通常难以发现或解密的更复杂和有效的密码。但是,我们可以轻松地在BioStar 2数据库中查看密码,因为它们存储为纯文本文件,而不是安全地进行哈希处理。
受泄漏影响的企业范围在规模,地点,行业和用户方面差异很大。我们能够访问和查看全球信息的企业的一些示例包括:
美国
· Union Member House - 拥有7,000名用户的Coworking空间和社交俱乐部。
· Lits Link - 软件开发咨询。
· Phoenix Medical - 医疗产品制造商。
印度尼西亚
· Uptown - 雅加达的共用空间,拥有123名用户。
印度和斯里兰卡
· Power World Gyms - 两个国家的分支机构的高级健身房特许经营权。我们访问了113,796个用户记录及其指纹。
英国
· Associated Polymer Resources - 塑料回收专家。
· 瓷砖山 - 家居装饰和DIY供应商。
· Farla Medical - 医疗用品商店。
阿联酋
· 全球村 - 一年一度的文化节,可容纳15,000个指纹。
· IFFCO - 消费食品集团。
芬兰
· Euro Park - 位于芬兰各地的停车场开发商。
火鸡
· Ostim - 工业区建筑开发商。
日本
· Inspired.Lab - 东京千代田区的接待和设计空间。
比利时
· Adecco Staffing - 我们发现大约2,000个指纹连接到人力资源和人力资源巨头。
德国
· Identbase -在公开的数据库中也发现了属于这个商业ID和访问卡打印技术供应商的数据。
最后,希望我们大家都能够重视数据安全,数据安全无小事!
内容来源于Vpnmentor
