生物特征识别数据泄露事件
概述
生物识别数据和传统的用户名密码不一样,密码丢失可以修改,使用新的密码,而生物数据例如指纹或者人脸,一旦丢失,无法更换。以下收集了最近比较严重的生物识别数据丢失事件,以飨读者。
BioStar 2
VpnMentor 的团队最近在安全平台 BioStar 2 中发现了一个巨大的数据泄露事件。
BioStar 2 是一个基于 Web 的生物识别安全智能锁定平台。它是一个中心化应用程序,允许管理员控制对安全设施区域的访问,管理用户权限,与第三方安全应用程序集成以及记录活动日志。
作为生物识别软件的一部分,BioStar 2 使用面部识别和指纹识别技术来识别用户。
该应用程序由世界 50 大安全制造商之一 Suprema 构建,在 EMEA 地区的生物识别访问控制市场份额最高。Suprema 最近与 Nedap 合作,将 BioStar 2 整合到他们的 AEOS 门禁系统中。
AEOS 被 83 个国家的超过 5,700 个组织使用,包括一些最大的跨国企业,许多小型本地企业,政府,银行,大到英国大都会警察局。
本次事件中泄漏的数据具有高度敏感性。它包括员工详细的个人信息和未加密的用户名和密码,使黑客能够访问使用 BioStar 2 的设施的用户帐户和权限。通过恶意代理可以利用此功能入侵安全设施并操纵其安全协议进行犯罪活动。
这是一个巨大的泄密事件,危及所涉及的企业和组织,以及他们的员工。该团队能够访问超过 100 万条指纹记录以及面部识别信息。结合个人详细信息,用户名和密码,犯罪活动和欺诈的可能性很大。
一旦指纹和面部识别信息被盗,将导致个人生物特征数据无法使用,可能会影响一个人一辈子的吃穿住行。
发现的时间线和所有者反应
在该团队发现 BioStar 2 数据库中的漏洞后,联系了该公司,提醒他们重视该调查结果。
然而,发现 BioStar 2 在整个过程中通常非常不合作。该团队多次尝试通过电子邮件与公司联系,但无济于事。最终,决定通过电话联系 BioStar 2 的办公室。同样,该公司基本上没有反应。
在与他们的德国队成员交谈后,收到了一个回复,“我们不跟 vpnMentor 说话”。这表明他们了解这个事件,以及试图解决这个问题。
团队还试图联系 BioStar 2 的 GDPR 合规官,但没有得到回复。
最终,在通过电话与愿意合作的法国分支机构交谈后,该公司采取措施停止违规行为。
发现日期:2019 年 8 月 5 日
日期供应商联系:2019 年 8 月 7 日
行动日期:8 月 13 日,违规行为已经结束
他们的团队能够访问超过 2780 万条记录,总共 23 千兆字节的数据,其中包括以下信息:
访问客户端管理面板,仪表板,后端控件和权限
指纹数据
面部识别信息和用户图像
未加密的用户名,密码和用户 ID
进入和退出安全区域的记录
员工记录包括开始日期
员工安全级别和许可
个人详细信息,包括员工家庭住址和电子邮件
企业的员工结构和层次结构
移动设备和操作系统信息
这次泄漏的一个更令人惊讶的方面是,访问的帐户密码是如此不安全。很多账户都有简单易懂的密码,比如“password”和“abcd1234”。很难想象人们仍然没有意识到这会让黑客访问他们的帐户变得多么容易。
面部识别和指纹信息无法更改。一旦它们被盗,它就无法撤销。
BioStar 2 存储此信息的无担保方式令人担忧,考虑到其重要性,以及 BioStar 2 由安全公司建造的事实。
它们不是保存指纹的散列(不能进行逆向工程),而是保存了人们可以为恶意目的复制的实际指纹。
将泄漏中发现的所有数据放在一起,各种犯罪分子都可以将这些信息用于各种非法和危险的活动。
账户收购和安全漏洞
有了这个漏洞,犯罪黑客可以完全访问 BioStar 2 上的管理员帐户。他们可以使用它来接管具有完整用户权限和安全许可的高级帐户,并更改整个网络中的安全设置。
他们不仅可以更改用户权限并将人员锁定在某些区域之外,还可以创建新的用户帐户(包括面部识别和指纹),以便自己访问建筑物或设施内的安全区域。
此外,黑客可以将现有帐户的指纹更改为自己的指纹,并劫持用户帐户以访问未被检测到的受限区域。黑客和其他犯罪分子可能会创建指纹库,以便在他们想要进入某个地方时使用而不被发现。
这使得黑客及其团队可以开放访问受 BioStar 2 保护的所有受限区域。他们还可以访问活动日志,因此他们可以删除或更改数据以隐藏其活动。
结果,被黑客入侵的建筑物的整个安全基础设施变得毫无用处。拥有这些数据的任何人都可以自由移动到他们选择的任何地方,未被发现。
路透社 -美国政府表示黑客窃取了数百万 国防部和其他美国政府雇员的安全数据, 大约560万个指纹记录,比最初预估的记录多450万个。
WASHINGTON (Reuters) - Hackers who stole security clearance data on millions of Defense Department and other U.S. government employees got away with about 5.6 million fingerprint records, some 4.5 million more than initially reported, the government said on Wednesday.
2019 Q1数据泄露事件TOP5
(1)黑客在暗网出售8.7亿条个人信息
今年2-3月份,Gnosticplayers在暗网分四轮出售从38个热门网站窃取的8.7亿条用户信息。第一轮出售了来自16个网站的6.2亿用户信息,第二轮出售了来自8个网站的1.27亿数据,第三轮出售了来自8个网站的9200万用户信息。第四轮出售2700万用户信息,共来自6个网站数据库。
(2)网络软件公司思杰大量敏感数据遭窃取
3月8日,网络软件公司思杰(Citrix Systems)对外表示,该公司发生数据泄露事故,黑客通过侵入多个员工账号获得内网权限,窃取了6-10TB的敏感数据,包括电子邮件、网络共享文件,以及项目管理和采购相关文档等。FBI表示黑客可能使用了一种名为“密码喷雾”(Password Spraying)的密码破解技术。
(3)MEGA上出现7.73亿份邮箱地址和2200万个密码
1月16日,安全研究专家特洛伊·亨特(Troy Hunt)在博客中称,在云存储服务平台MEGA上,被黑客公开了窃取的7.73亿个电子邮件地址和近2200万个密码。这些文件一共超过1.2万份,数据超过87GB。
(4)Facebook被爆内部2万员工可随意访问数亿用户密码
3月21日,外媒报道,约有2亿至6亿Facebook用户的密码以纯文本方式储存。这些包含纯文本用户密码的数据元素被数千名Facebook 工程师或开发人员访问了约 900 万次,而且这些数据还能被2万多名Facebook员工搜索到。
(5)IT安全和云数据巨头Rubrik数据库泄露
1月29日,因服务器出现安全漏洞,IT安全和云数据管理巨头Rubrik的数据库遭到泄露,该数据库存储了数十GB的数据,包括每个客户的姓名和联系方式等。
SenseNets深网视界
2019年,SenseNets(深网视界)发生的数据泄露事件集中体现了存储端的薄弱。2019年2月,荷兰著名安全研究员 Victor Gevers发现,中国安防视觉领域的一家企业SenseNets未进行安全保护,导致其数据库在公网“裸奔”,任何人都可以访问数据。该数据库有超过250万名用户的信息,除了用户名,还有非常详细且敏感的信息,比如身份证号码、身份证签发日期、性别、家庭住址、出生日期、照片、工作单位以及过去24小时的到访记录等。
泄露的身份证号码,已经照片就意味着人脸识别相关的应用会面临极大风险。通过“照片活化”工具可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。匹配了身份信息的照片,经过“照片活化”后,能实名注册市面上大多数软件,加上验证码破解方式,不法分子在办理网贷、精准诈骗等方面几乎毫无障碍。
生物特征识别数据泄露事件相关推荐
- 开源生物特征识别库 OpenBR
开源生物特征识别库 OpenBR OpenBR 是一个用来从照片中识别人脸的工具.还支持推算性别与年龄. 使用方法:$ br -algorithm FaceRecognition -compare m ...
- 生物特征识别技术的标准化工作
读研究生时候做的虹膜识别,今天再来回顾一下: 一.国内外生物特征识别技术的发展概况 生物特征识别技术早年运用于法庭科学的司法鉴定,多是对静 态图像(指纹图像.脸形图像)的事后采集和识别:上世纪九十 ...
- MCU在可穿戴计算机生物特征识别中的关键作用
丢失丢失的手机或平板电脑是很难的;丢失的移动设备的后果是巨大的:我们的移动设备中存储了如此多的信息,以至于我们立即面临丢失金钱.被窃取或甚至被窃取身份的风险.想一想.除了必须重新创建电子邮件.更改密码 ...
- 新冠全球曼延风险等级攀升,阿里“生物特征识别多模态融合”价值凸显
新冠全球曼延风险等级攀升,阿里"生物特征识别多模态融合"价值凸显 2月28日,世卫组织总干事谭德塞在日内瓦宣布,将新冠肺炎全球风险级别提高为"非常高".而此前这 ...
- 《AI人工智能的未来》(Yanlz+VR云游戏+Unity+SteamVR+云技术+5G+AI+机器学习+人机交互+计算机视觉+生物特征识别+立钻哥哥+==)
<AI人工智能的未来> <AI人工智能的未来> 版本 作者 参与者 完成日期 备注 YanlzAI_Future_V01_1.0 严立钻 2020.01.09 ##<AI ...
- 一篇文章了解生物特征识别六大技术
点击上方"小白学视觉",选择加"星标"或"置顶" 重磅干货,第一时间送达 生物识别技术,通过计算机与光学.声学.生物传感器和生物统计学原理等 ...
- 数据泄露报告称,1/5 的外部数据泄露事件涉及政府背景(附下载)
最近,威瑞森电信公司(Verizon)又发布了一年一度的<2017年的数据泄露调查报告>,对以往的的安全事件和数据泄露进行了分析.威瑞森是美国著名的通信公司,相当于美国版的"中国 ...
- 一文带你重温去年最难忘的10个数据泄露事件
点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 大数据文摘出品 来源:gizmodo 编译:陈之炎 数据泄露犹如网络噩梦. 近几年来, ...
- 深度 | 香港中文大学(深圳)张大鹏教授:生物特征识别的新进展 | CCF-GAIR 2019
https://www.toutiao.com/i6713840784291922445/ 2019-07-15 18:51:11 不止干货,张教授演讲中还夹杂了诸多宝贵的史料 文 | 黄善清 AI ...
最新文章
- sql查两个时间内的数据_如何通过AWR的sql脚本查执行时间、消耗CPU、gets、I/0等的sql?...
- 递归回溯解决八皇后问题
- 2.3.1 spring属性注入-注解注入-半注解方式-前序
- AngularJS双向数据绑定实例
- 当新零售遇上 Serverless
- ZOJ 3735 Josephina and RPG
- ios 计算两个时间相差秒数_Ios中时间差的计算,NSData与NSCalendar(日历)对象
- 遇到一个valgrind自身的bug
- WCF技术剖析之二十八:自己动手获取元数据[附源代码下载]
- 1000道Python题库系列分享23(61个填空题)
- 「代码随想录」63. 不同路径 II【动态规划】力扣详解!
- Nginx 优秀的核心架构设计揭秘,让你搞懂高并发之道
- win10如何微信多开(无需工具)
- 这个与流程管理相结合的低代码平台,你一定不能错过
- 给Vue实例添加新的属性
- CF卡技术详解——笔记
- mac上彻底删除 搜狗输入法 鼠须管输入法
- 年审是当月还是当天_车辆年检可以在到期当月进行吗
- linux 建立http连接失败,【linux】http请求建立连接的时候为啥是tcp三次握手,而不是二次或者四次?...
- android 极光推送解绑,app集成极光推送笔记(angular js)