上班打卡也有风险？不安全数据库导致数百万人的指纹和面部识别信息泄露

2019 年 8 月 14 日，卫报发布了一篇报告，报告中称：在 Metropolitan Police、国防承包商和银行等公司使用的公共数据库中发现了超过百万人的指纹、面部识别信息、未加密的用户名、密码以及员工个人信息。

事件回溯

这个包含了数百万个指纹、面部识别信息，未加密的用户名、密码以及员工的个人信息的数据库是个未加密的 Elasticsearch 数据库，由研究人员 Noam Rotem 和 Ran Locar 共同发现。

Noam Rotem 和 Ran Locar 一直在与审查虚拟专用网络服务提供商 vpnotor 合作，通过运行 Side Project 来扫描端口，寻找熟悉的 IP 块，然后利用这些块来查找公司系统中可能导致数据泄露的漏洞。在上周的一次搜索中，研究人员发现 Biostar 2 的数据库没有受到保护，且大部分都是未加密的。他们通过操纵 Elasticsearch 中的 URL 搜索条件来搜索数据库，获取到了对数据的访问权限。

Suprema 是负责基于网络的 Biostar 2 生物识别锁定系统的安全公司，该系统允许集中控制对仓库或办公楼等建筑物的访问。Biostar 2 通过指纹和面部识别来辨别想要进入建筑物的人。上个月，Suprema 宣布将其 Biostar 2 平台集成到另一个门禁系统 - AEOS 中。AEOS 被 83 个国家的 5700 个组织使用，其中就包括前文中卫报提到的 Metropolitan Police、国防承包商和银行等。

据 Noam Rotem 介绍：“数据库中大部分用户名和密码都没有加密，我们甚至可以找到管理员账户的纯文本密码。同时，我们还可以看到数百万用户正在哪些位置访问该系统，并实时查看某个用户进入了哪个建筑物，甚至可以精确到建筑物的某个房间。另外，数据库中的数据还可被新增和修改，这意味着攻击者可以编辑现有的用户账户，并将其指纹替换成自己的指纹，进而获得访问相关建筑物的权限，也可以在数据库中新增自己的账户来获得相关权限。”

与用户名、密码之类的数据泄露不同，指纹、面部识别等生物识别数据的泄露更为严重，因为这类数据无法更改，一旦泄露可能会造成永久损害，并且，攻击者可利用这些信息开展各种犯罪活动。

相关进展

据了解，该不安全 Elasticsearch 数据库泄露的信息包括以下方面：

• 访问客户端管理面板、仪表板、后端控制和权限；

• 指纹数据；

• 用户的面部识别信息和图像；

• 未加密的用户名、密码和用户 ID；

• 安全区域出入记录；

• 从开始日期的员工记录；

• 员工安全级别和许可；

• 个人信息，包括员工住址和电子邮件；

• 企业的员工结构和层次结构；

• 移动设备和操作系统信息；

在发现漏洞之后，研究人员未能通过邮件及时联系到 Biostar 2。两天之后，他们打电话给德国分公司，但是对方说他们在挂断电话时表示：“没有与 vpnMentor 通话”。随后，研究人员又尝试联系到了法国分公司，该分公司采取了相关措施，关闭了漏洞数据库。

8 月 13 日，在距离 Biostar 2 首次收到警报的一周后，该漏洞数据库才被关闭。对于这样的反应速度，发现该漏洞的研究人员表示很失望。

研究人员建议 Biostar 2 客户立即更改仪表盘密码，并提示所有员工更改个人密码。另外，消费品上的大多数指纹扫描器都是未加密的，因此当黑客开发出复制指纹的技术时，他们将可以访问存储在您设备上的所有私人信息，例如消息、照片和付款方式。

如何保护 Elasticsearch 数据库

虽然这已经不是第一起因 Elasticsearch 不安全数据库导致的数据泄露，但是显然之前发生的数据泄露并没有给广大企业和用户敲响警钟。其实，想要阻止数据泄露并非是件难以完成的事情，之前我们在采访 Elasticsearch 中文社区深圳分会杨振涛时，他给出了几个最基本的低成本措施：

1）服务器必须要有防火墙，不能随意对外开放端口；

2）Elasticsearch 集群的端口包括 TCP 和 HTTP，都不能暴露在公网；

3）Elasticsearch 集群禁用批量删除索引功能；

4）Elasticsearch 中保存的数据要做基本的脱敏处理；

5）加强监控和告警，能够在安全事件发生的第一时间感知并启动紧急预案，将损失降到最低 。

如果是在没有任何保护措施下造成的数据泄露，那么要在第一时间尽快恢复服务；如果泄露原因是 Elasticsearch 宿主服务器安全性太低，那么第一时间要为服务器做安全加固，比如开启防火墙，拒绝非授权端口的访问，修改 root 密码，禁用密码直接登录服务器，而是通过 SSH KEY 来登录等；如果发生了极端情况，泄露的数据包含用户账号信息，那么要在第一时间通知用户修改密码，甚至在登录模块强制用户重置密码后才可登录。

参考链接：

https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms

https://techerati.com/news-hub/biometrics-data-police-breach-cyber/