近年来发生的多起大规模信息泄露事件,使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光,那后果就更加严重了。遗憾的是,这正是 Suprema Biostar 2 指纹锁身上所发生的事情。据悉,研究人员在 Suprema 的系统中发现了一个安全漏洞,使之能够访问超过 100 万人的身份验证数据。
英国《卫报》指出,这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。
鉴于 Suprema 生物识别认证系统有许多企业和公共机构大客户 —— 其中包括英国大都会警察局、国防承包商和银行 —— 甚至伤害美国、巴基斯坦、芬兰、印尼等地的跨国企业。
以色列研究人员 Noam Rotem、Ran Locar 与 vpnmentor 一起寻找到了 Suprema 的安全漏洞,并且获得了 Biostar 2 数据库的访问权限。
最令人震惊的是,在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过 2780 万条(23GB+)的记录。
除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。
此外,研究人员能够编辑某人的帐户,在其中加入自己的指纹。因此从理论上来讲,攻击者可以突破所有需要授权进入的地方。
更令人不安的是,研究人员发现密码数据根本没有受到任何保护,使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到:
Suprema 未采用无法进行逆向工程的散列式指纹数据存储,而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。
即便如此,Suprema 营销主管 Andy Ahn 还是在接受《卫报》采访时称:此事并没有什么可担心的。
我司已对 vpnmentor 的报告进行了‘深入评估’,若威胁确实存在,Suprema 会立即采取行动并发布适当的公告,以保护我司客户宝贵的业务和资产。
然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题,并对这批数据展开了滥用。
随着互联网的成熟,一旦客户或企业的核心敏感信息被曝光,基本上对其发展、品牌以及事件导致的经济损失将会是呈指数级别的量级递增。再加之现在的黑客产业链发展,已经由当初的个人散兵作战,发展到现在的有组织、有预谋、有利益、有生态链的规模。由此可见,企业、政府所面临的数据库威胁已迫在眉睫。
除了相关部门的规定与安全技术防护的教育以外,我们个人平时也应自觉学习相应知识一遍不时之需,尽可能的避免数据被盗用的危险。
1.不下载不明应用
官方提供的软件大都经过了严格的测试,安全性比较有保障,可以最大程度减少应用被篡改或植入木马程序的可能性。通常正轨的APP都经过了代码签名证书,下载时可以查看到开发者的信息,如没有部署代码签名证书的APP建议不要下载使用。
2.不连陌生WiFi
在陌生环境中,要保持警惕心理。不要接入安全性未知或陌生的WiFi网络,避免落入不法分子的陷阱。
3.严格管理权限
应用安装后,对应用权限的申请不能全部同意,尤其是涉及定位、短信、通讯录等敏感权限。对可能泄露个人信息的权限,尽量拒绝,不可只图一时之便。对于申请权限过多或申请权限与其用途不符的,给予重点关注。
4.留意账号授权
使用社交媒体账号登录第三方网站时不贪图方便,仔细查看其申请的权限。可以取消勾选的,尽量取消。同时,要养成检查的习惯,时常关注授权情况,对于长期不用的第三方网站,及时取消账号授权。
5.不要随意打开未知连接
我们经常都能收到彩信,或一些不知名的连接,如不确定连接安全性情况下请不要打开地址栏开头非HTTPS的连接。
