0815 TWCERT_CC 英國爆發嚴重生物辨識資訊資安事件,百萬人指紋、面孔與帳密完全未經加密存放.png

英國爆發有史以來最嚴重生物辨識資訊資安事件,計有超過一百萬人的臉部、指紋圖像資料、登入帳密等個資,存放在未經加密的公開資料庫中,可任人隨意取用。

 

以色列資安專家 Noam Rotem 和 Ran Locar 日前發現,英國保全公司 Suprema 旗下的 Biostar 2 生物辨識門禁系統,將其辨識資料庫放在網路上,而且未經加密;只要針對其 Web 管理界面的 URL 略經修改,即可進入資料庫中。

專家指出,資料庫中一共有兩千七百八十萬筆資料,檔案大小高達 23GB,內含資料欄位包括指紋和面部掃瞄資料、面部相片、用戶帳號與密碼、進出記錄、安全控管權限層級等個資,影響人數超過一百萬人。

Biostar 2 與其相關系統的用戶遍布全球,共有 83 國、超過五千七百家公私單位採用該系統。受影響單位包括英國倫敦警察廳、英國各國防相關單位等。

資安專家進一步指出,這個資料庫不但完全未經加密,甚至連基本的權限控管也付之闕如;他們可以任意在資料庫中新增用戶或更改資料。

 

 

  • 參考連結
  • https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms

 

  • 更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news

 

 

    twcert 發表在 痞客邦 留言(0) 人氣()