Исследователи связывают с
vpnMentor, который предоставляет отзывы виртуальная частная сеть, в среду сообщил данные нарушения с участием почти 28 миллионов записей в Биостар 2 базы данных биометрической защиты принадлежащих
Супрема.
“Базы данных биостар 2 осталась открытой и незашифрованной,” vpnMentor сказал в электронной почте, предоставленной мультфильмы одним сотрудником компании, который представился как “парень”.
“После того, как мы вышли на них, они смогли закрыть утечку”, – сказал vpnMentor.
Компания Супрема 2 веб-основе является, открытой, интегрированной платформы безопасности.
Утечка была обнаружена на августа. 5 и vpnMentor потянулся к Супрема на августа. 7. Утечка была закрыта августа. 13.
Что Было Взято
Команда vpnMentor получили доступ к клиентским админ панели, панели мониторинга, серверной управления и права, которое в конечном счете подвергается 23 ГБ записи:
- Данные об отпечатках пальцев;
- Информация распознавания изображений лиц и пользователей;
- Незашифрованные имена пользователей, пароли и идентификаторы пользователей;
- Учет въезда и выезда в безопасные районы;
- Записи о работниках, включая даты начала;
- Уровень безопасности сотрудников и зазоров;
- Личные данные, включая домашний адрес и электронную почту;
- Структуры бизнеса, работника и иерархии; и
- Мобильные устройства и информацию об операционной системе.
Команда была в состоянии получить доступ к информации из различных предприятий по всему миру:
- Соединенные Штаты организации Дом-членов Союза, лиц ссылке и Феникс медицинский;
- В Великобритании, связанного полимера ресурсы, горы плитки и Farla медицинское;
- В Финляндии евро-парк;
- Япония вдохновляет.Лаборатории;
- Бельгийская компания СДС штатного расписания; и
- Identbase.de Германии.
В vpnMentor данных выявил дали бы каких-либо преступников, которые, возможно, приобрел его полным доступ к учетным записям администратора на Биостар 2. Это позволит преступникам завладеть высокого уровня учетных записей с полными правами пользователя и зазоры безопасности; вносить изменения в сетевые настройки безопасности; и создание новых учетных записей пользователей, выполните с помощью функции распознавания лиц и отпечатков пальцев, чтобы получить доступ к защищенным областям.
Данные также позволит хакерам взломать учетные записи пользователей и изменить биометрические данные в них получить доступ к ограниченным областям. Они будут иметь доступ к логам активности, поэтому их действия могут быть скрыты или удалены. Украденные данные позволят фишинговых кампаний, направленных против высокопоставленных лиц, и сделать фишинг легче.
“Там не много, то потребитель может сделать здесь, поскольку вы не можете реально изменить ваши отпечатки пальцев или строение лица”, – заметил Роберт Кэппс, стратег проверки подлинности на
Безопасности NuData, а компании “Мастеркард”.
Однако, вор данных потребуется доступ к устройству потребителя к совершению мошенничества биометрической аутентификации на этом уровне.
“Данные не бесплатно”, – отметил Колин Bastable, генеральный директор
Безопасность Люси.
“Есть ответственность, которая идет с захвата. Если вы не можете себе это позволить, не держите его,” он сказал, что школа в аварийном состоянии.
Уход кормление и паролей
Многие из этих счетов простые пароли вроде “пароль” и “abcd1234,” vpnMentor указал.
“Я не вижу никаких оправданий, используя такие пароли для реальных приложений”, – сказал Bastable.
Пока “эти общие пароли к потребителям”, – рассказал Кэппс мультфильмы. “Кроме того, возможно, что эти пароли по умолчанию, когда учетная запись была создана, но никогда не изменятся”.
Используя простые пароли для любых целей является “невероятно плохая идея”, – заявил Кэппс. “Это лучшая практика, чтобы создать сложный пароль, который легко запоминается или использовать менеджер паролей, чтобы создавать сложные пароли, уникальные для одной учетной записи”.
Лучшие практики и стандарты для безопасного и надежного хранения паролей “были доступны в течение многих десятилетий”, – отметил он.
Команда vpnMentor легко рассматривать более сложные пароли, используемые с других счетов в Биостар базе 2, потому что они хранились в виде текстовых файлов, вместо того, чтобы надежно хэширован.
“Если [это] по-настоящему, то это принципиальный отказ от практики безопасности”, – сказал Bastable. “Это не так, если шифрование является потерянное искусство или безумно дорогие.”
Пароли никогда не должны храниться в виде обычного текста, капс получает. Даже хэширования паролей могут быть проблемы, если используется слабый алгоритм или короткий пароль.
“Много слабых алгоритмов хэширования имели ‘радужные таблицы’ — для строк текстовых пересчитывать хеши простых, которые позволяют хешированный пароль должен быть преобразован обратно в их текстовом формате”, – пояснил он. “Это позволяет для простого восстановления некоторых хэшированных данных”.
Большую Опасность
Супрема этой весной
объявила об интеграции своего Биостар 2 решение с системой контроля доступа УЭО от Неадап.
Более 5700 организаций в 83 странах использование УЭО. К таким подразделениям относятся предприятия, правительства, банков и Великобритании столичной полиции.
Интеграция настолько плавный, что операторы смогут продолжить работу в УЭО для управления пальцем и регистрации биометрических идентификаторов без переключения экранов. Биометрические профили хранятся в Биостар и постоянно синхронизированный с УЭО. Синхронизации по протоколу SSL-сертификаты защитите.
Как и клиенты Неадап по Супрема разбираться с исключительным разнообразием требований безопасности.
“Это может сделать комплексная реализация проекта в натуру. Основная цель такой интеграции всегда было обеспечить действительно гибкое и масштабируемое решение, которое легко внедрить и поддерживать”, – отметил Рубен Бринкман, менеджер альянса в Nedcap.
“Это указывает на серьезную проблему. Удобство достигается на высоком, но скрытых расходов с точки зрения компрометации безопасности”, – сказал Bastable. “Когда вы легко интегрируются с другой технологии, вы принимаете их в целях обеспечения безопасности и силы их вашим клиентам.”
Первые проекты, основанные на технологии обеих фирм в трубопроводе.
“В целом, биометрической верификации по-прежнему эффективна и безопасна”, – NuData по Кэппс отметил. “Отдельные реализации могут быть подозреваемый, в зависимости от сложности, хватка безопасности и перспективные проекты реализованы.”
Биометрические системы и безопасность
“К сожалению, есть предположение, что охранные компании, которые предлагают [биометрический] технологии сами по себе являются образцами добродетели безопасности”, – Bastable безопасности Люси сказала.
“Задать трудные вопросы безопасности данных. Не верь, но перепроверь, потому что ваша собственная охрана не полагается на сторонних поставщиков и партнеров”, – посоветовал он.
“Шифровки” Bastable добавил. “Использовать аппаратный ключ защиты. Токенизация. Есть продуманная политика, проверить его, и не позволить суперпользователи, которые могут злоупотреблять своим доступ”.
