Bio Star 2安全平台的违规行为暴露了数百万条指纹记录，密码和面部识别数据

生物识别技术现在用于保护物理和数字资产，这是有充分理由的。在指纹识别器或面部识别系统的帮助下对用户进行身份验证不仅更快捷，更方便，而且比其他选择更加安全。生物识别数据还可以使大型组织的管理员和安全团队更轻松地设置强大的访问控制策略，并确保正确记录所有内容。

然而，就其所有的好处而言，生物识别确实有一个主要的缺点，经常被技术怀疑者引用。事实上，与密码不同，指纹和面部无法更改或重置。如果生物识别数据暴露出来，它就会暴露出来，并且后果可能相当严重。最近一个名为Bio Star 2的安全平台的数据泄露向我们展示了他们的严重程度。

Table of Contents

Bio Star 2数据泄露可能带来灾难性的后果

那些努力与信息安全行业的新闻保持同步的人们已经听过Noam Rotem，Ran Locar和他们在vpnMentor的团队。在过去的几个月中，他们已经发现更多比一个数配置不当的数据库和服务器被泄露吨敏感信息。然而，违反Bio Star 2可能是他们所见过的最严重的事件。

再一次，暴露的信息位于Elasticsearch数据库中，该数据库不受密码保护，可以从世界上任何地方访问。除此之外，该数据库还拥有超过一百万的指纹扫描和用户图片，这些用户一直使用集成到Bio Star 2中的面部识别设备。这本身就听起来很糟糕，但情况更糟。

根据Rotem和Locar的说法，Bio Star 2在全球拥有超过150万台设备，其开发商Suprema最近与一家名为Nedap的科技公司合作，以便将该平台集成到AEOS门禁系统中。 AEOS被近6,000个组织使用，范围从小型健身房到大型政府和执法机构。研究人员说，估计受影响个体的确切人数很难，但他们确实指出，这些机构的一些员工可能已经暴露了他们的生物识别数据。

用户名，密码和其他敏感细节也被泄露

不幸的是，错误配置的Elasticsearch安装包含的不仅仅是指纹和面部识别信息. 研究人员发现了员工的职称，结构和层次结构，安全级别，许可和日志，详细说明了访问安全区域的人员和时间。个人信息，如家庭和电子邮件地址，也被泄露，因此有很多用户名和密码。

研究人员没有详细介绍这些登录凭据的确切用途，但他们并没有说他们可以让网络犯罪分子访问使用Bio Star 2的组织的管理面板，仪表板和后端基础设施。虽然他们本来应该保护一些严重的资产，Rotem和Locar发现的一些密码非常弱。这虽然令人担忧，但并不特别令人惊讶。然而，令人震惊的是，开发Bio Star 2的人们并没有真正做到足以保护客户的安全。甚至没有考虑到数据库暴露的配置错误。

数据泄露揭示了Bio Star 2的数据处理问题

研究人员于8月5日找到了暴露的数据库，他们立即着手联系Suprema并披露该漏洞。该团队通过电子邮件进行了“多次尝试”以便与开发人员取得联系，但在收到没有回复后，他们拿起电话并试图致电该公司在德国的办事处。由于完全不可理解的原因，Suprema的德国员工拒绝讨论此事。 vpnMentor然后尝试联系开发者的法国团队，这次他们收到了更多的合作。 8月13日，数据终于获得了保障。