vpnMentor研究人員發現知名保全業者Suprema的BioStar平台有多項漏洞,讓他們得以存取超過100萬人的指紋、人臉辨識資訊、密碼等機密資料。(圖片來源/vpnMentor)

英國衛報(The Guardian)報導,全球大型保全業者Suprema生物辨識雲端平台爆有漏洞,導致數百萬用戶的指紋、臉部辨識等個資被公開於網路上。

這項漏洞是由安全公司vpnMentor研究人員Noam Rotem及Ran Locar首先發現。Suprema的BioStar 2為Web化生物辨識智慧門鎖平台,可提供管理員各大樓、廠房的進出控管、管理用戶權限、存取人員活動紀錄,以及整合第三方安全app。作為生物辨識管理方案,BioStar 2 利用臉部辨識及指紋辨識資料來比對人員身份。

Suprema為全球前50大保全業者,上個月才宣佈和另一家門禁管理系統業者Nedap合作,將Biostar 2平台和後者的AEOS系統整合。而AEOS擁有全球83國超過5,700家企業客戶,包括大小型企業、銀行、軍方外包商及倫敦大都會警察。

vpnMentor研究人員在8月5日發現Biostar 2平台有多項漏洞,讓他們得以搜尋到並存取多個儲存大批敏感資訊的資料檔案,包括超過100萬人的指紋、人臉辨識資訊、未加密的用戶名稱、密碼、手機及OS、以及住家地址、公司組織架構、員工職稱,總數超過2780萬筆記錄共23GB資料。研究人員發現其中不乏password、abcd1234等簡單密碼。

外洩資料波及大大小小的企業,遍及美國、英國、阿拉伯聯合大公國、芬蘭、比利時、德國、日本及東南亞等地。研究人員指出,BioStar2平台全球安裝數超過150萬,影響員工可能上看數千萬。

研究人員8月7日起通報Suprema,但業者一度消極不回應及傲慢不理。最後等8月13日保全公司關上漏洞後,隨即昭告天下。雖然遭到冷眼對待,但安全公司仍呼籲用戶變更並採取強密碼。


Advertisement

更多 iThome相關內容