出大事了！
VpnMentor的团队最近在安全平台BioStar 2中发现了一个巨大的数据泄露事件。
BioStar 2是一个基于Web的生物识别安全智能锁定平台。它是一个中心化应用程序，允许管理员控制对安全设施区域的访问，管理用户权限，与第三方安全应用程序集成以及记录活动日志。
作为生物识别软件的一部分，BioStar 2使用面部识别和指纹识别技术来识别用户。
该应用程序由世界50大安全制造商之一Suprema构建，在EMEA地区的生物识别访问控制市场份额最高。Suprema最近与Nedap合作，将BioStar 2整合到他们的AEOS门禁系统中。
AEOS被83个国家的超过5,700个组织使用，包括一些最大的跨国企业，许多小型本地企业，政府，银行，大到英国大都会警察局。
本次事件中泄漏的数据具有高度敏感性。它包括员工详细的个人信息和未加密的用户名和密码，使黑客能够访问使用BioStar 2的设施的用户帐户和权限。通过恶意代理可以利用此功能入侵安全设施并操纵其安全协议进行犯罪活动。
这是一个巨大的泄密事件，危及所涉及的企业和组织，以及他们的员工。该团队能够访问超过100万条指纹记录以及面部识别信息。结合个人详细信息，用户名和密码，犯罪活动和欺诈的可能性很大。
一旦指纹和面部识别信息被盗，将导致个人生物特征数据无法使用，可能会影响一个人一辈子的吃穿住行。
发现的时间线和所有者反应
在该团队发现BioStar 2数据库中的漏洞后，联系了该公司，提醒他们重视该调查结果。
然而，发现BioStar 2在整个过程中通常非常不合作。该团队多次尝试通过电子邮件与公司联系，但无济于事。最终，决定通过电话联系BioStar 2的办公室。同样，该公司基本上没有反应。
在与他们的德国队成员交谈后，收到了一个回复，“我们不跟vpnMentor说话”。这表明他们了解这个事件，以及试图解决这个问题。
团队还试图联系BioStar 2的GDPR合规官，但没有得到回复。
最终，在通过电话与愿意合作的法国分支机构交谈后，该公司采取措施停止违规行为。

发现日期：2019年8月5日日期供应商联系：2019年8月7日行动日期：8月13日，违规行为已经结束

数据库中的条目示例

作为一个中心化的安全解决方案，BioStar 2的数据库几乎包含了所有可用的敏感数据。

这可以用于各种各样的犯罪活动 ，这些活动对受影响的企业和组织以及其员工或客户都是灾难性的。
他们的团队能够访问超过2780万条记录，总共23千兆字节的数据，其中包括以下信息：
访问客户端管理面板，仪表板，后端控件和权限指纹数据面部识别信息和用户图像未加密的用户名，密码和用户ID进入和退出安全区域的记录员工记录包括开始日期员工安全级别和许可个人详细信息，包括员工家庭住址和电子邮件企业的员工结构和层次结构移动设备和操作系统信息
这次泄漏的一个更令人惊讶的方面是，访问的帐户密码是如此不安全。很多账户都有简单易懂的密码，比如“password”和“abcd1234”。很难想象人们仍然没有意识到这会让黑客访问他们的帐户变得多么容易。

当然，许多用户确实创建了通常难以发现或解密的更复杂和有效的密码。但是，可以轻松地在BioStar 2数据库中查看密码，因为它们存储为纯文本文件，而不是安全地进行过哈希处理。

受泄漏影响的企业范围在规模，地点，行业和用户方面差异很大。受到此次事件影响的企业包括：
美国Union Member House - 拥有7,000名用户的Coworking空间和社交俱乐部。Lits Link - 软件开发咨询。Phoenix Medical - 医疗产品制造商。
印度尼西亚
Uptown - 雅加达的共用空间，拥有123名用户。
印度和斯里兰卡
Power World Gyms - 两个国家的分支机构的高级健身房特许经营权。我们访问了113,796个用户记录及其指纹。
英国
Associated Polymer Resources - 塑料回收专家。瓷砖山 - 家居装饰和DIY供应商。 Farla Medical - 医疗用品商店。
阿联酋
全球村 - 一年一度的文化节，可容纳15,000个指纹。IFFCO - 消费食品集团。
芬兰
Euro Park - 位于芬兰各地的停车场开发商。
土耳其
Ostim - 工业区建筑开发商。  
日本
Inspired.Lab - 东京千代田区的接待和设计空间。 
比利时
Adecco Staffing - 我们发现大约2,000个指纹连接到人力资源和人力资源巨头。
德国
Identbase -在公开的数据库中也发现了属于这个商业ID和访问卡打印技术供应商的数据。也许这次泄密最大的担忧是它的大小。BioStar 2的用户遍布全球，潜在的未来用户包括政府，银行，大学，国防承包商，警察和跨国企业。
该平台在全球范围内安装了150多万个，所有这些都可能容易受到这种泄漏的影响。受影响的人口总数可能达到数千万。

数据违规影响
面部识别和指纹信息无法更改。一旦它们被盗，它就无法撤销。
BioStar 2存储此信息的无担保方式令人担忧，考虑到其重要性，以及BioStar 2由安全公司建造的事实。
它们不是保存指纹的散列（不能进行逆向工程），而是保存了人们可以为恶意目的复制的实际指纹。
将泄漏中发现的所有数据放在一起，各种犯罪分子都可以将这些信息用于各种非法和危险的活动。

账户收购和安全漏洞

有了这个漏洞，犯罪黑客可以完全访问BioStar 2上的管理员帐户。他们可以使用它来接管具有完整用户权限和安全许可的高级帐户，并更改整个网络中的安全设置。
他们不仅可以更改用户权限并将人员锁定在某些区域之外，还可以创建新的用户帐户（包括面部识别和指纹），以便自己访问建筑物或设施内的安全区域。
此外，黑客可以将现有帐户的指纹更改为自己的指纹，并劫持用户帐户以访问未被检测到的受限区域。黑客和其他犯罪分子可能会创建指纹库，以便在他们想要进入某个地方时使用而不被发现。
这使得黑客及其团队可以开放访问受BioStar 2保护的所有受限区域。他们还可以访问活动日志，因此他们可以删除或更改数据以隐藏其活动。
结果，被黑客入侵的建筑物的整个安全基础设施变得毫无用处。拥有这些数据的任何人都可以自由移动到他们选择的任何地方，未被发现。

抢劫和欺诈
让黑客或犯罪分子完全进入安全建筑物的危害是盗窃。他们可以使用这个数据库完全走进一个房间并带走任何有价值的东西。
无论建筑的性质如何，无论是小镇健身房还是政府办公室，都是如此。
泄漏还使黑客能够访问他们可能无法从建筑物外部到达的其他封闭网络。通过这种方式，他们可以窃取有价值的信息，植物病毒，监控和利用系统等等。

身份盗窃和欺诈
BioStar 2泄漏包含大量个人详细信息以及用户名称，指纹和图像。这包括就业记录，电子邮件地址和家庭住址。
除了受影响企业的安全问题之外，员工和客户现在可以成为欺诈和其他犯罪的目标。
相同的个人详细信息也可用于制作有效的网络钓鱼活动。网络钓鱼活动是使用模仿电子邮件诱骗受害者点击嵌入恶意软件的链接或提供可用于从中窃取的信息。通过此泄漏中提供的个人和专业详细信息，创建有效的网络钓鱼活动并不困难。
BioStar 2数据为网络犯罪分子提供了利用用户获取非法经济利益的坚实基础。他们还可以将黑暗网络上的信息（包括指纹）出售给其他犯罪分子或恶意代理人。这可能会导致无辜的BioStar 2用户的数据导致许多无法追查，有罪的活动。

勒索和勒索
针对某些员工根据他们在企业中的访问权限进行敲诈勒索或敲诈勒索是全世界犯罪分子使用的一种流行策略。它允许黑客获取有价值的信息或资产，而不会使自己处于身体危险之中。
BioStar 2数据库中的漏洞允许黑客查看组织内的个人安全许可，并基于此针对高级别个人进行勒索和勒索。
利用可用的个人详细信息，他们可以通过访问私人信息和利用家庭或人际关系等个人漏洞来使威胁变得非常有效。这使受影响的BioStar 2客户的员工面临很大的潜在危险。

使用被盗指纹
像指纹一样使用生物识别安全性是最近的发展。因此，指纹被盗的全部潜在危险仍然未知。
但是，要记住的重要一点是，一旦它被盗，与密码不同，您的指纹无法更改。
这使得指纹数据盗窃更加令人担忧。指纹正在取代许多消费品（如手机）上的键入密码。消费品上的大多数指纹扫描仪都是未加密的，因此当黑客开发技术来复制指纹时，他们就可以访问存储在设备上的所有私人信息，如消息，照片和付款方式。
这只是许多人的一个潜在问题。
对于BioStar 2，目前最大的问题之一就是声誉。在犯罪黑客手中，所有这些数据都可以下载并保存，以便以后用于各种犯罪。

专家的建议
如果 BioStar 2的制造商采取了一些基本的安全预防措施，那么这种泄漏本可以很容易地避免。虽然我们发现的信息仍然可以让它落入犯罪黑客手中，我们建议BioStar 2和Suprema：
使用更好的保护措施保护您的服务器不要保存用户的实际指纹。保存无法进行逆向工程的哈希版本。在数据库上实施适当的访问规则。永远不要将不需要身份验证的系统留在互联网上。
他们不是保存指纹的哈希值（不能进行逆向工程），而是保存实际的指纹，然后可以用它来创建用于恶意目的的副本。

给BioStar 2客户的建议
如果您的企业或组织正在使用BioStar 2，并且您担心自己受到此数据泄露的影响，我们建议您联系Suprema了解更多详情。
我们还建议立即更改BioStar 2上的密码，并通知员工更改其个人密码。
此外，我们建议您与员工一起创建指南或共享工具，以帮助他们生成安全密码。有许多在线密码计可以确保它们得到更好的保护。
有关如何在线保护您的业务的深入指南，请查看如何保护您的网站和在线数据库免受黑客攻击。

给用户的建议
如果您的雇主或您是其客户的企业使用BioStar 2，您的个人信息，指纹和面部识别数据可能已被泄露。
您应该通知业务或雇主您的疑虑，并确保他们知道数据泄露。

宁波格密链网络科技有限公司几年前就开始研究密文生物特征识别，并取得了成功，已经开发出相应的产品。后续我们将继续跟踪报道。

往期推荐PySEAL：一个全同态加密的Python接口库
2019年同态加密标准化会议召开谷歌隐私交集和技术解析2—技术概览
谷歌隐私交集和技术解析1—应用场景分析谷歌推出一种新型的安全多方计算开源库关于安装NTL的总结
NIST第二届后量子密码标准会议接受论文如何在云中加密数据2019编码密码中的数学基础暑期班
Libra区块链论文解析6-交易的执行-part 1Libra区块链论文解析5-数据逻辑模型-part 2
Libra区块链论文解析4-数据逻辑模型-part 1▼欢迎收听“区块链杂谈”节目，国内最有质量的区块链知识分享节目。


◆ ◆ ◆  ◆ ◆格密链专注于区块链上的密码学技术长按扫码可关注









致远博士




扫一扫下载订阅号助手，用手机发文章

赞赏



长按二维码向我转账


受苹果公司新规定影响，微信 iOS 版的赞赏功能被关闭，可通过二维码转账支持公众号。

















已同步到看一看



取消
发送


我知道了








朋友会在“发现-看一看”看到你“在看”的内容
确定













已同步到看一看写下你的想法



最多200字，当前共字
发送







已发送







朋友将在看一看看到
确定



写下你的想法...









取消
发布到看一看
确定




最多200字，当前共字








发送中













微信扫一扫
使用小程序







取消
允许






即将打开一个新页面

取消
允许








确定