英國爆發嚴重生物辨識資訊資安事件,百萬人指紋、面孔與帳密完全未經加密存放

英國爆發有史以來最嚴重生物辨識資訊資安事件,計有超過一百萬人的臉部、指紋圖像資料、登入帳密等個資,存放在未經加密的公開資料庫中,可任人隨意取用。

內文:

以色列資安專家 Noam Rotem 和 Ran Locar 日前發現,英國保全公司 Suprema 旗下的 Biostar 2 生物辨識門禁系統,將其辨識資料庫放在網路上,而且未經加密;只要針對其 Web 管理界面的 URL 略經修改,即可進入資料庫中。

專家指出,資料庫中一共有兩千七百八十萬筆資料,檔案大小高達 23GB,內含資料欄位包括指紋和面部掃瞄資料、面部相片、用戶帳號與密碼、進出記錄、安全控管權限層級等個資,影響人數超過一百萬人。

Biostar 2 與其相關系統的用戶遍布全球,共有 83 國、超過五千七百家公私單位採用該系統。受影響單位包括英國倫敦警察廳、英國各國防相關單位等。

資安專家進一步指出,這個資料庫不但完全未經加密,甚至連基本的權限控管也付之闕如;他們可以任意在資料庫中新增用戶或更改資料。
 

發表留言