一个重大缺陷，暴露了100多万人的生物特征数据

密码暴露已经足够糟糕了。但是指纹和面部识别数据呢？太可怕了。

据《卫报》报道，Suprema的Biostar 2生物特征安全系统受到了审查。此前，Vpnentor和两名研究人员 — Noam Rotem and Ran Locar — 发现了一个重大缺陷，暴露了100多万人的生物特征数据。

Biostar2是一个安全平台，利用面部识别和指纹控制进入建筑物和其他安全设施。更糟的是，Biostar2最近被整合到了NEDAP的AEOS安全平台中，该平台被80多个国家的数千家公司和组织用于安全设备。

研究人员说，不仅数据库未加密，而且通过调整搜索和分析引擎ElasticSearch中的URL搜索标准来访问数据库，这其中包含了大量的数据。

据《卫报》报道，研究人员“可以访问超过2780万条记录和23GB的数据，包括管理面板、仪表盘、指纹数据、面部识别数据、用户的面部照片、未加密的用户名和密码、设备访问日志、安全级别以及员工的个人信息。” 除敏感信息外，安全研究人员还可以轻松监控存储的生物识别数据的实际使用情况。例如，要实时查看哪个用户通过特定安全门进入任何设施，甚至查看管理员帐户的密码。此外，研究人员可以编辑某人的帐户并添加他们自己的指纹。因此从理论上讲，攻击者可以突破所有需要被授权进入的地方。

据vpnMentor称，暴露的数据于2019年8月5日被发现。两天后，他们将这一问题通知了Biostar2，到8月13日，数据库已变为私有。不知道这些信息被访问了多长时间，也不知道是否有人，特别是坏人，能够访问数据库。