免费下载案例集|20+数字化领先企业人才培养实践经验 了解详情
写点什么

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露

  • 2019-08-15
  • 本文字数:1852 字

    阅读完需:约 6 分钟

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露

2019 年 8 月 14 日,卫报发布了一篇报告,报告中称:在 Metropolitan Police、国防承包商和银行等公司使用的公共数据库中发现了超过百万人的指纹、面部识别信息、未加密的用户名、密码以及员工个人信息。

事件回溯

这个包含了数百万个指纹、面部识别信息,未加密的用户名、密码以及员工的个人信息的数据库是个未加密的 Elasticsearch 数据库,由研究人员 Noam Rotem 和 Ran Locar 共同发现。


Noam Rotem 和 Ran Locar 一直在与审查虚拟专用网络服务提供商 vpnotor 合作,通过运行 Side Project 来扫描端口,寻找熟悉的 IP 块,然后利用这些块来查找公司系统中可能导致数据泄露的漏洞。在上周的一次搜索中,研究人员发现 Biostar 2 的数据库没有受到保护,且大部分都是未加密的。他们通过操纵 Elasticsearch 中的 URL 搜索条件来搜索数据库,获取到了对数据的访问权限。


Suprema 是负责基于网络的 Biostar 2 生物识别锁定系统的安全公司,该系统允许集中控制对仓库或办公楼等建筑物的访问。Biostar 2 通过指纹和面部识别来辨别想要进入建筑物的人。上个月,Suprema 宣布将其 Biostar 2 平台集成到另一个门禁系统 - AEOS 中。AEOS 被 83 个国家的 5700 个组织使用,其中就包括前文中卫报提到的 Metropolitan Police、国防承包商和银行等。


据 Noam Rotem 介绍:“数据库中大部分用户名和密码都没有加密,我们甚至可以找到管理员账户的纯文本密码。同时,我们还可以看到数百万用户正在哪些位置访问该系统,并实时查看某个用户进入了哪个建筑物,甚至可以精确到建筑物的某个房间。另外,数据库中的数据还可被新增和修改,这意味着攻击者可以编辑现有的用户账户,并将其指纹替换成自己的指纹,进而获得访问相关建筑物的权限,也可以在数据库中新增自己的账户来获得相关权限。”


与用户名、密码之类的数据泄露不同,指纹、面部识别等生物识别数据的泄露更为严重,因为这类数据无法更改,一旦泄露可能会造成永久损害,并且,攻击者可利用这些信息开展各种犯罪活动。

相关进展

据了解,该不安全 Elasticsearch 数据库泄露的信息包括以下方面:


  • 访问客户端管理面板、仪表板、后端控制和权限;

  • 指纹数据;

  • 用户的面部识别信息和图像;

  • 未加密的用户名、密码和用户 ID;

  • 安全区域出入记录;

  • 从开始日期的员工记录;

  • 员工安全级别和许可;

  • 个人信息,包括员工住址和电子邮件;

  • 企业的员工结构和层次结构;

  • 移动设备和操作系统信息;


在发现漏洞之后,研究人员未能通过邮件及时联系到 Biostar 2。两天之后,他们打电话给德国分公司,但是对方说他们在挂断电话时表示:“没有与 vpnMentor 通话”。随后,研究人员又尝试联系到了法国分公司,该分公司采取了相关措施,关闭了漏洞数据库。


8 月 13 日,在距离 Biostar 2 首次收到警报的一周后,该漏洞数据库才被关闭。对于这样的反应速度,发现该漏洞的研究人员表示很失望。


研究人员建议 Biostar 2 客户立即更改仪表盘密码,并提示所有员工更改个人密码。另外,消费品上的大多数指纹扫描器都是未加密的,因此当黑客开发出复制指纹的技术时,他们将可以访问存储在您设备上的所有私人信息,例如消息、照片和付款方式。

如何保护 Elasticsearch 数据库

虽然这已经不是第一起因 Elasticsearch 不安全数据库导致的数据泄露,但是显然之前发生的数据泄露并没有给广大企业和用户敲响警钟。其实,想要阻止数据泄露并非是件难以完成的事情,之前我们在采访 Elasticsearch 中文社区深圳分会杨振涛时,他给出了几个最基本的低成本措施:


1)服务器必须要有防火墙,不能随意对外开放端口;


2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;


3)Elasticsearch 集群禁用批量删除索引功能;


4)Elasticsearch 中保存的数据要做基本的脱敏处理;


5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低 。


如果是在没有任何保护措施下造成的数据泄露,那么要在第一时间尽快恢复服务;如果泄露原因是 Elasticsearch 宿主服务器安全性太低,那么第一时间要为服务器做安全加固,比如开启防火墙,拒绝非授权端口的访问,修改 root 密码,禁用密码直接登录服务器,而是通过 SSH KEY 来登录等;如果发生了极端情况,泄露的数据包含用户账号信息,那么要在第一时间通知用户修改密码,甚至在登录模块强制用户重置密码后才可登录。


参考链接:


https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms


https://techerati.com/news-hub/biometrics-data-police-breach-cyber/


2019-08-15 11:559463
用户头像

发布了 497 篇内容, 共 321.4 次阅读, 收获喜欢 1919 次。

关注

评论

发布
暂无评论
发现更多内容

立即执行函数在前端国际化方案中的应用

xiaoxi666

电脑版Boom3D音响音效增强环绕软件

茶色酒

Boom3D

微软 New Bing 和 Edge 动手实践:令人惊讶的 AI 集成度

kcodez

微软 edge 新必应 Copilot

前端面试指南之JS面试题总结

loveX001

JavaScript

LR性能测试常见问题及处理方法(六)

性能测试 问题排查 LoadRunner 云性能测试

React-hooks面试考察知识点汇总

beifeng1996

React

春种一粒粟:企业如何修炼好云原生内功?

脑极体

云原生

ChatGPT:将一个「营销小助手」请回家

FinFish

AI AIGC ChatGPT

2023年1月中国汽车智能网联月度观察

易观分析

汽车 智能网联

不同程序集,名称空间类名和方法签名都一样的方法,如何调用

newbe36524

C# Docker Kubernetes

Unittest+Python接口自动化测试如何进行token关联?

Python 自动化测试 unittest Token

企业微信的聊天机器人来了!免费下载,Python自动化办公

程序员晚枫

Python 聊天机器人 企业微信

SpringBoot集成Tomcat服务

Java 架构

LR性能测试常见问题及处理方法(四)

性能测试 问题排查 LoadRunner 云性能测试

架构实战 7 - 王者荣耀商城异地多活设计

架构实战营 「架构实战营」

借力英特尔® Smart Edge,灵雀云 ACP 5G 专网解决方案获得多维度优化加速

York

云原生 5G 系统架构 边缘计算 英特尔

2023前端二面经典面试题汇总

loveX001

JavaScript

LR性能测试常见问题及处理方法(三)

性能测试 问题排查 LoadRunner

LeetCode题解:2347. 最好的扑克手牌,哈希表,详细注释

Lee Chen

JavaScript 算法 LeetCode 哈希表

LR性能测试常见问题及处理方法(五)

性能测试 问题排查 LoadRunner 云性能测试

社招前端常考react面试题总结

beifeng1996

React

飞书与钉钉的真正竞争在这

B Impact

2023-02-20:小A认为如果在数组中有一个数出现了至少k次, 且这个数是该数组的众数,即出现次数最多的数之一, 那么这个数组被该数所支配, 显然当k比较大的时候,有些数组不被任何数所支配。 现在

福大大架构师每日一题

算法 rust 福大大

社招中级前端笔试面试题总结

loveX001

JavaScript

基于Unittest框架,使用Python+Selenium+Webdriver的WebUI自动化测试项目应用实例(附源码)

Python 单元测试 自动化测试 unittest

Spark练习题

mm

Sparksql Spark Scala 大数据开发

架构训练营-模块五作业

Sam

架构实战营

一图读懂 | 2023年中国企业数字化技术应用十大趋势

易观分析

数字化 数字经济

广告流量反作弊风控中的模型应用

vivo互联网技术

算法 广告 风控系统

osx使用alfred集成有道查词

Geek_pwdeic

macos Alfred 有道

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露_数据库_田晓旭_InfoQ精选文章