HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露

  • 2019-08-15
  • 本文字数:1852 字

    阅读完需:约 6 分钟

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露

2019 年 8 月 14 日,卫报发布了一篇报告,报告中称:在 Metropolitan Police、国防承包商和银行等公司使用的公共数据库中发现了超过百万人的指纹、面部识别信息、未加密的用户名、密码以及员工个人信息。

事件回溯

这个包含了数百万个指纹、面部识别信息,未加密的用户名、密码以及员工的个人信息的数据库是个未加密的 Elasticsearch 数据库,由研究人员 Noam Rotem 和 Ran Locar 共同发现。


Noam Rotem 和 Ran Locar 一直在与审查虚拟专用网络服务提供商 vpnotor 合作,通过运行 Side Project 来扫描端口,寻找熟悉的 IP 块,然后利用这些块来查找公司系统中可能导致数据泄露的漏洞。在上周的一次搜索中,研究人员发现 Biostar 2 的数据库没有受到保护,且大部分都是未加密的。他们通过操纵 Elasticsearch 中的 URL 搜索条件来搜索数据库,获取到了对数据的访问权限。


Suprema 是负责基于网络的 Biostar 2 生物识别锁定系统的安全公司,该系统允许集中控制对仓库或办公楼等建筑物的访问。Biostar 2 通过指纹和面部识别来辨别想要进入建筑物的人。上个月,Suprema 宣布将其 Biostar 2 平台集成到另一个门禁系统 - AEOS 中。AEOS 被 83 个国家的 5700 个组织使用,其中就包括前文中卫报提到的 Metropolitan Police、国防承包商和银行等。


据 Noam Rotem 介绍:“数据库中大部分用户名和密码都没有加密,我们甚至可以找到管理员账户的纯文本密码。同时,我们还可以看到数百万用户正在哪些位置访问该系统,并实时查看某个用户进入了哪个建筑物,甚至可以精确到建筑物的某个房间。另外,数据库中的数据还可被新增和修改,这意味着攻击者可以编辑现有的用户账户,并将其指纹替换成自己的指纹,进而获得访问相关建筑物的权限,也可以在数据库中新增自己的账户来获得相关权限。”


与用户名、密码之类的数据泄露不同,指纹、面部识别等生物识别数据的泄露更为严重,因为这类数据无法更改,一旦泄露可能会造成永久损害,并且,攻击者可利用这些信息开展各种犯罪活动。

相关进展

据了解,该不安全 Elasticsearch 数据库泄露的信息包括以下方面:


  • 访问客户端管理面板、仪表板、后端控制和权限;

  • 指纹数据;

  • 用户的面部识别信息和图像;

  • 未加密的用户名、密码和用户 ID;

  • 安全区域出入记录;

  • 从开始日期的员工记录;

  • 员工安全级别和许可;

  • 个人信息,包括员工住址和电子邮件;

  • 企业的员工结构和层次结构;

  • 移动设备和操作系统信息;


在发现漏洞之后,研究人员未能通过邮件及时联系到 Biostar 2。两天之后,他们打电话给德国分公司,但是对方说他们在挂断电话时表示:“没有与 vpnMentor 通话”。随后,研究人员又尝试联系到了法国分公司,该分公司采取了相关措施,关闭了漏洞数据库。


8 月 13 日,在距离 Biostar 2 首次收到警报的一周后,该漏洞数据库才被关闭。对于这样的反应速度,发现该漏洞的研究人员表示很失望。


研究人员建议 Biostar 2 客户立即更改仪表盘密码,并提示所有员工更改个人密码。另外,消费品上的大多数指纹扫描器都是未加密的,因此当黑客开发出复制指纹的技术时,他们将可以访问存储在您设备上的所有私人信息,例如消息、照片和付款方式。

如何保护 Elasticsearch 数据库

虽然这已经不是第一起因 Elasticsearch 不安全数据库导致的数据泄露,但是显然之前发生的数据泄露并没有给广大企业和用户敲响警钟。其实,想要阻止数据泄露并非是件难以完成的事情,之前我们在采访 Elasticsearch 中文社区深圳分会杨振涛时,他给出了几个最基本的低成本措施:


1)服务器必须要有防火墙,不能随意对外开放端口;


2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;


3)Elasticsearch 集群禁用批量删除索引功能;


4)Elasticsearch 中保存的数据要做基本的脱敏处理;


5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低 。


如果是在没有任何保护措施下造成的数据泄露,那么要在第一时间尽快恢复服务;如果泄露原因是 Elasticsearch 宿主服务器安全性太低,那么第一时间要为服务器做安全加固,比如开启防火墙,拒绝非授权端口的访问,修改 root 密码,禁用密码直接登录服务器,而是通过 SSH KEY 来登录等;如果发生了极端情况,泄露的数据包含用户账号信息,那么要在第一时间通知用户修改密码,甚至在登录模块强制用户重置密码后才可登录。


参考链接:


https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms


https://techerati.com/news-hub/biometrics-data-police-breach-cyber/


2019-08-15 11:559474
用户头像

发布了 497 篇内容, 共 322.7 次阅读, 收获喜欢 1920 次。

关注

评论

发布
暂无评论
发现更多内容

把您的 PCB 艺术品带来 KiCon 吧:SAO Hat 作品招募中

华秋电子

kicad

Elasticsearch向量检索的演进与变革:从基础到应用

汀丶人工智能

自然语言处理 Elastic Search 语义搜索系统 向量搜索

手机端侧文字识别:挑战与解决方案

合合技术团队

人工智能 技术 手机 识别

软件测试|计算机系本科生获“火焰杯”软件测试高校就业选拔赛一等奖

霍格沃兹测试开发学社

SMT组装工艺流程的应用场景

华秋电子

SMT

第2期 | GPTSecurity周报

云起无垠

页面查询多项数据组合的线程池设计 | 京东云技术团队

京东科技开发者

线程池 分页查询 企业号10月PK榜 数据组合

加速新型工业化“智造”创新,用友数智驱动新质生产力

用友BIP

智能制造

一周完成“药管家”元服务开发,上线单月用户达千万

最新动态

软件依赖管理-源码依赖、接口依赖、服务依赖

laofo

DevOps cicd 研发效能 持续交付

TiKV Fast Tune 介绍及手册,快速定位 TiDB/TiKV 性能抖动或退化

TiDB 社区干货传送门

TiDB 7.x 源码编译之 TiDB Server 篇,及新特性解析

TiDB 社区干货传送门

版本测评 新版本/特性发布 7.x 实践

软件测试|火焰杯”软件测试高校就业选拔赛获奖名单揭晓,我院两名学子上榜,奖金2万元!

霍格沃兹测试开发学社

收获98.23%候选人的好评,ATL新能源做对了什么?

用友BIP

智能招聘

MySQL Command Line Client登录 及系统设置

小齐写代码

TiDB 社区第三届 1024 程序员心愿节|你的心愿,我来实现,人均带着一个礼物的时刻到啦!

TiDB 社区干货传送门

TiDB 企业版全新升级,平凯数据库核心特性全解读

TiDB 社区干货传送门

邯郸学院软件学院软件工程专业教师参加“火焰杯”软件测试颁奖

测试人

软件测试

多模态GPT-V出世!36种场景分析ChatGPT Vision能力,LMM将全面替代大语言模型? | 京东云技术团队

京东科技开发者

人工智能 LLM模型 企业号10月PK榜 GPT-V

互动直播双11大促开启!!!快来! | 京东云技术团队

京东科技开发者

互动直播 数字人 企业号10月PK榜 AI直播

把AI刻进矿山生产DNA | 用友BIP助力智慧矿山精益管理提速

用友BIP

智能制造

PCB打板省钱小妙招,强烈建议收藏!

华秋电子

PCB

火山引擎DataTester:AB测试技术揭秘及应用分享

字节跳动数据平台

大数据 ab测试 对比实验 数字化增长 企业号10月PK榜

Lightroom Classic 2024 for Mac(摄影后期照片编辑工具) v13.0.1中文激活版

mac

照片编辑软件 苹果mac Windows软件 Lightroom Classic lrc

是时候了!MySQL 5.7 的下一站,不如试试 TiDB?

TiDB 社区干货传送门

2023 年 API 排行榜热门榜单揭晓

Apifox

程序员 前端 接口 API API 协议

AI干货大FUN送!程序员节来AI Show“集市”行乐

飞桨PaddlePaddle

AI 程序员节

小间距LED显示屏的技术优势有哪些?

Dylan

LED显示屏 全彩LED显示屏 led显示屏厂家 户内led显示屏

京东小程序平台助力快送实现跨端 | 京东云技术团队

京东科技开发者

小程序 ide 跨端 企业号10月PK榜

优化模型之标注错误

矩视智能

深度学习 机器视觉

一站式轻量化部署服务器集群监控方案

lklmyy

云计算 部署 测试开发 #云原生

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露_数据库_田晓旭_InfoQ精选文章