首页 >互联网 > 内容

未加密的数据库暴露了76000个指纹

互联网 2020-04-03 11:55:25

一家为全球公司处理员工指纹识别的安全公司公布了超过200万条数据,其中包括76000条指纹。

Antheus Tecnologia是一家开发和管理自动指纹识别系统的巴西公司,在他们的服务器上留下了16G高度敏感的与客户身份识别和生物特征细节有关的信息。 这一漏洞是安全侦探网站的研究人员发现的,该网站专门分析杀毒软件。 研究人员说,这一违约行为已经得到了保证。

生物识别数据窃的威胁比平均密码违反或恶意软件感染更严重。 一旦发现漏洞,用户可以更改密码或应用软件补丁来消除威胁。 但是指纹数据是不同的:指纹是终身的,它们不能被“升级”或改变。 虹膜扫描和面部识别数据基本上也是永久性的。

Antheus服务器被发现采用了与系统访问有关的薄弱措施。 它还存储了实际的指纹图像和索引日志,这些图像和索引日志可以很容易地匹配并用于恶意黑客的犯罪活动。

研究人员Anurag Sen说:“考虑到信息的重要性,安休斯·泰克诺洛尼亚存储信息的不安全方法是相当令人震惊的。”

他解释说:“安修斯没有保存指纹的哈希值(不能进行逆向工程),而是通过原始编码来保存人们的实际指纹,然后再进行恶意复制。”

考虑到越来越多地依赖生物识别数据来获取个人计算机、移动电话、银行和商业机构,安全漏洞令人不安。

这一事件让人想起2015年联邦调查局使用的2200万个人记录和100万指纹的网络窃。 安全身份和生物特征识别协会的创始人Janice Kephart对一名身份窃受害者的事件进行了分析,她说,自2000年以来为政府工作的所有人“现在不仅根据我们的传记信息被盗用身份,而且我们的指纹现在永远与这些传记数据相连”。

森指出,违规行为使用户面临的犯罪活动类型包括身份窃、获取机密信息、金融窃、钓鱼攻击、勒索、勒索和赎金。

他列举了一些措施,其中许多是早已确立的常识性解决方案,以防止被盗。 其中:

-检查你的网站是否安全(查找https和/或闭锁)

-只提供你认为自信的东西,不能用来反对你(避免政府的身份证号码,个人喜好,如果公开,可能会给你带来麻烦等)

-通过组合字母、数字和符号来创建安全密码-使用在线扫描工具检查您的设备是否存在已知的漏洞-除非您确定发件人是合法的,否则不要单击电子邮件中的链接-避免使用信用卡信息并通过无安全保障的Wi Fi网络键入密码


郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。