Bio Star 2安全平台的違規行為暴露了數百萬條指紋記錄，密碼和麵部識別數據

生物識別技術現在用於保護物理和數字資產，這是有充分理由的。在指紋識別器或面部識別系統的幫助下對用戶進行身份驗證不僅更快捷，更方便，而且比其他選擇更加安全。生物識別數據還可以使大型組織的管理員和安全團隊更輕鬆地設置強大的訪問控制策略，並確保正確記錄所有內容。

然而，就其所有的好處而言，生物識別確實有一個主要的缺點，經常被技術懷疑者引用。事實上，與密碼不同，指紋和麵部無法更改或重置。如果生物識別數據暴露出來，它就會暴露出來，並且後果可能相當嚴重。最近一個名為Bio Star 2的安全平台的數據洩露向我們展示了他們的嚴重程度。

Table of Contents

Bio Star 2數據洩露可能會帶來災難性的後果

那些努力與信息安全行業的新聞保持同步的人們已經聽過Noam Rotem，Ran Locar和他們在vpnMentor的團隊。在過去的幾個月中，他們已經發現更多比一個數配置不當的數據庫和服務器被洩露噸敏感信息。然而，違反Bio Star 2可能是他們所見過的最嚴重的事件。

再一次，暴露的信息位於Elasticsearch數據庫中，該數據庫不受密碼保護，可以從世界上任何地方訪問。除此之外，該數據庫還擁有超過一百萬的指紋掃描和用戶圖片，這些用戶一直使用集成到Bio Star 2中的面部識別設備。這本身就听起來很糟糕，但情況會更糟。

根據Rotem和Locar的說法，Bio Star 2在全球擁有超過150萬台設備，其開發商Suprema最近與一家名為Nedap的科技公司合作，以便將該平台集成到AEOS門禁系統中。 AEOS被近6,000個組織使用，範圍從小型健身房到大型政府和執法機構。研究人員說，估計受影響個體的確切人數很難，但他們確實指出，這些機構的一些員工可能已經暴露了他們的生物識別數據。

用戶名，密碼和其他敏感細節也被洩露

不幸的是，錯誤配置的Elasticsearch安裝包含的不僅僅是指紋和麵部識別信息. 研究人員發現了員工的職稱，結構和層次結構，安全級別，許可和日誌，詳細說明了訪問安全區域的人員和時間。個人信息，如家庭和電子郵件地址，也被洩露，因此有很多用戶名和密碼。

研究人員沒有詳細介紹這些登錄憑據的確切用途，但他們並沒有說他們可以讓網絡犯罪分子訪問使用Bio Star 2的組織的管理面板，儀表板和後端基礎設施。雖然他們本來應該保護一些嚴重的資產，Rotem和Locar發現的一些密碼非常弱。這雖然令人擔憂，但並不特別令人驚訝。然而，令人震驚的是，開發Bio Star 2的人們並沒有真正做到足以保護客戶的安全。甚至沒有考慮到數據庫暴露的配置錯誤。

數據洩露揭示了Bio Star 2的數據處理問題

研究人員於8月5日找到了暴露的數據庫，他們立即著手聯繫Suprema並披露該漏洞。該團隊通過電子郵件進行了“多次嘗試”以便與開發人員取得聯繫，但在收到沒有回復後，他們拿起電話並試圖致電該公司在德國的辦事處。由於完全不可理解的原因，Suprema的德國員工拒絕討論此事。 vpnMentor然後嘗試聯繫開發者的法國團隊，這次他們收到了更多的合作。 8月13日，數據終於獲得了保障。