写点什么

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露

  • 2019-08-15
  • 本文字数:1852 字

    阅读完需:约 6 分钟

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露

2019 年 8 月 14 日,卫报发布了一篇报告,报告中称:在 Metropolitan Police、国防承包商和银行等公司使用的公共数据库中发现了超过百万人的指纹、面部识别信息、未加密的用户名、密码以及员工个人信息。

事件回溯

这个包含了数百万个指纹、面部识别信息,未加密的用户名、密码以及员工的个人信息的数据库是个未加密的 Elasticsearch 数据库,由研究人员 Noam Rotem 和 Ran Locar 共同发现。


Noam Rotem 和 Ran Locar 一直在与审查虚拟专用网络服务提供商 vpnotor 合作,通过运行 Side Project 来扫描端口,寻找熟悉的 IP 块,然后利用这些块来查找公司系统中可能导致数据泄露的漏洞。在上周的一次搜索中,研究人员发现 Biostar 2 的数据库没有受到保护,且大部分都是未加密的。他们通过操纵 Elasticsearch 中的 URL 搜索条件来搜索数据库,获取到了对数据的访问权限。


Suprema 是负责基于网络的 Biostar 2 生物识别锁定系统的安全公司,该系统允许集中控制对仓库或办公楼等建筑物的访问。Biostar 2 通过指纹和面部识别来辨别想要进入建筑物的人。上个月,Suprema 宣布将其 Biostar 2 平台集成到另一个门禁系统 - AEOS 中。AEOS 被 83 个国家的 5700 个组织使用,其中就包括前文中卫报提到的 Metropolitan Police、国防承包商和银行等。


据 Noam Rotem 介绍:“数据库中大部分用户名和密码都没有加密,我们甚至可以找到管理员账户的纯文本密码。同时,我们还可以看到数百万用户正在哪些位置访问该系统,并实时查看某个用户进入了哪个建筑物,甚至可以精确到建筑物的某个房间。另外,数据库中的数据还可被新增和修改,这意味着攻击者可以编辑现有的用户账户,并将其指纹替换成自己的指纹,进而获得访问相关建筑物的权限,也可以在数据库中新增自己的账户来获得相关权限。”


与用户名、密码之类的数据泄露不同,指纹、面部识别等生物识别数据的泄露更为严重,因为这类数据无法更改,一旦泄露可能会造成永久损害,并且,攻击者可利用这些信息开展各种犯罪活动。

相关进展

据了解,该不安全 Elasticsearch 数据库泄露的信息包括以下方面:


  • 访问客户端管理面板、仪表板、后端控制和权限;

  • 指纹数据;

  • 用户的面部识别信息和图像;

  • 未加密的用户名、密码和用户 ID;

  • 安全区域出入记录;

  • 从开始日期的员工记录;

  • 员工安全级别和许可;

  • 个人信息,包括员工住址和电子邮件;

  • 企业的员工结构和层次结构;

  • 移动设备和操作系统信息;


在发现漏洞之后,研究人员未能通过邮件及时联系到 Biostar 2。两天之后,他们打电话给德国分公司,但是对方说他们在挂断电话时表示:“没有与 vpnMentor 通话”。随后,研究人员又尝试联系到了法国分公司,该分公司采取了相关措施,关闭了漏洞数据库。


8 月 13 日,在距离 Biostar 2 首次收到警报的一周后,该漏洞数据库才被关闭。对于这样的反应速度,发现该漏洞的研究人员表示很失望。


研究人员建议 Biostar 2 客户立即更改仪表盘密码,并提示所有员工更改个人密码。另外,消费品上的大多数指纹扫描器都是未加密的,因此当黑客开发出复制指纹的技术时,他们将可以访问存储在您设备上的所有私人信息,例如消息、照片和付款方式。

如何保护 Elasticsearch 数据库

虽然这已经不是第一起因 Elasticsearch 不安全数据库导致的数据泄露,但是显然之前发生的数据泄露并没有给广大企业和用户敲响警钟。其实,想要阻止数据泄露并非是件难以完成的事情,之前我们在采访 Elasticsearch 中文社区深圳分会杨振涛时,他给出了几个最基本的低成本措施:


1)服务器必须要有防火墙,不能随意对外开放端口;


2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;


3)Elasticsearch 集群禁用批量删除索引功能;


4)Elasticsearch 中保存的数据要做基本的脱敏处理;


5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低 。


如果是在没有任何保护措施下造成的数据泄露,那么要在第一时间尽快恢复服务;如果泄露原因是 Elasticsearch 宿主服务器安全性太低,那么第一时间要为服务器做安全加固,比如开启防火墙,拒绝非授权端口的访问,修改 root 密码,禁用密码直接登录服务器,而是通过 SSH KEY 来登录等;如果发生了极端情况,泄露的数据包含用户账号信息,那么要在第一时间通知用户修改密码,甚至在登录模块强制用户重置密码后才可登录。


参考链接:


https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms


https://techerati.com/news-hub/biometrics-data-police-breach-cyber/


2019-08-15 11:559590
用户头像

发布了 497 篇内容, 共 330.8 次阅读, 收获喜欢 1925 次。

关注

评论

发布
暂无评论
发现更多内容

深度学习调参小册

京东科技开发者

人工智能 深度学习 后端 调优参数 企业号 2 月 PK 榜

Flink CEP 新特性进展与在实时风控场景的落地

Apache Flink

大数据 flink 实时计算

前端经典面试题(有答案)

loveX001

JavaScript

重磅官宣,OpenHarmony技术峰会来了

OpenHarmony开发者

OpenHarmony

vue为什么v-for的优先级比v-if的高?

bb_xiaxia1998

Vue

new Vue的时候到底做了什么

bb_xiaxia1998

Vue

云端智创 | 批量化生产,如何利用Timeline快速合成短视频?

阿里云CloudImagine

云计算 音视频 智能媒体生产

软件测试 | Selenium 安装

测吧(北京)科技有限公司

测试

vivo官网App模块化开发方案-ModularDevTool

vivo互联网技术

android 客户端 模块化

京东前端react面试题及答案

beifeng1996

React

前端一面必会vue面试题总结

bb_xiaxia1998

Vue

问:你是如何进行react状态管理方案选择的?

beifeng1996

React

git 怎么将一个 patch 文件打到一个目录下的所有git仓库

ModStart

从URL输入到页面展现到底发生什么?

loveX001

JavaScript

Java高手速成 | WebFlux框架的函数式开发模式

TiAmo

Java WebFlux

问:React的useState和setState到底是同步还是异步呢?

beifeng1996

React

前端二面经典vue面试题总结

bb_xiaxia1998

Vue

Avatar阿凡达模式项目系统开发逻辑(成熟技术)

I8O28578624

前端二面经典react面试题

beifeng1996

React

【开发宝典】Java并发系列教程

京东科技开发者

Java 内存 并发 Monitor 企业号 2 月 PK 榜

上班打卡也有风险?不安全数据库导致数百万人的指纹和面部识别信息泄露_数据库_田晓旭_InfoQ精选文章