보고서 : 수백만 명의 사용자에게 영향을 미치는 생체 인식 보안 플랫폼의 데이터 유출


인터넷 개인 정보 보호 연구원 Noam Rotem과 Ran Locar가 이끄는 vpnMentor 팀은 최근에 보안 플랫폼 BioStar 2에서 엄청난 데이터 유출.  

BioStar 2는 웹 기반입니다 생체 보안 스마트 잠금 플랫폼. 중앙 집중식 응용 프로그램으로 관리자가 시설의 보안 영역에 대한 액세스 제어, 사용자 권한 관리, 타사 보안 앱과 통합 및 활동 로그 기록. 

생체 인식 소프트웨어의 일부로, BioStar 2는 얼굴 인식 및 지문 인식 기술을 사용하여 사용자를 식별합니다..

앱은 세계 50 대 보안 제조업체 중 하나 인 Suprema가 제작, EMEA 지역의 생체 인식 출입 통제 시장 점유율이 가장 높습니다. 슈프리마는 최근 Nedap과 제휴하여 BioStar 2를 AEOS 액세스 제어 시스템에 통합했습니다.. 

AEOS는 가장 큰 다국적 기업, 많은 소규모 지역 기업, 정부, 은행, 영국 수도 경찰 등 83 개국 5,700 개 이상의 조직에서 사용합니다.. 

위반으로 유출 된 데이터는 매우 민감한 특성입니다.. 자세한 내용이 포함되어 있습니다 직원의 개인 정보 및 암호화되지 않은 사용자 이름 및 비밀번호, BioStar 2를 사용하는 시설에서 해커에게 사용자 계정 및 권한을 부여합니다. 보안 시설을 해킹하고 범죄 행위에 대한 보안 프로토콜을 조작. 

이는 직원 및 비즈니스 및 조직 모두를 위험에 빠뜨리는 막대한 누출입니다.. 우리 팀은 얼굴 인식 정보뿐만 아니라 1 백만 건이 넘는 지문 기록에 액세스 할 수있었습니다.. 개인 정보, 사용자 이름 및 비밀번호와 결합, 범죄 행위 및 사기의 가능성은 엄청납니다. 

도난당한 후에는 지문 및 얼굴 인식 정보를 검색 할 수 없습니다. 개인은 남은 생애 동안 잠재적으로 영향을받을 것입니다. 

발견 및 소유자 반응의 타임 라인

BioStar 2 데이터베이스의 위반을 발견 한 후 회사에 연락하여 알림 우리의 발견.

하나, BioStar 2는 일반적으로 매우 비협조적인 것으로 나타났습니다 이 과정에서 우리 팀은 회사에 연락하려는 수많은 시도 이메일을 통해 아무 소용이 없습니다. 결국 우리는 전화로 BioStar 2 사무실에 연락하기로 결정했습니다. 다시, 회사는 반응이 없다. 

독일 팀원과 대화하면서 우리는 "vpnMentor와는 대화하지 않습니다", 전화가 갑자기 끊기 전에. 이것은 그들이 우리를 알고 문제를 해결하려는 우리의 시도.

또한 BioStar 2의 GDPR 규정 준수 담당관에게 연락을 시도했지만 아무런 답변도받지 못했습니다.. 

결국, 전화를 통해보다 협력적인 프랑스 지사와 대화 한 후, 회사가 위반을 막기 위해 취한 조치. 

  • 발견 날짜 : 2019 년 8 월 5 일
  • 공급 업체에 연락 한 날짜 : 2019 년 8 월 7 일
  • 행동 날짜 : 8 월 13 일, 위반이 종결되었습니다

데이터베이스 항목의 예

중앙 집중식 보안 솔루션, BioStar 2의 데이터베이스에는 거의 모든 종류의 민감한 데이터가 포함되어 있습니다. 

바이오 스타 -2- 공항이것은 될 수 있습니다 광범위한 범죄 활동에 사용 그럴 것이다 영향을받는 비즈니스 및 조직과 직원 또는 고객 모두에게 재앙. 

우리 팀은 27,800,000 개가 넘는 레코드, 총 23 기가 바이트의 데이터에 액세스 가능, 여기에는 다음 정보가 포함됩니다.

  • 클라이언트 관리 패널, 대시 보드, 백엔드 제어 및 권한에 액세스 
  • 지문 데이터 
  • 얼굴 인식 정보 및 사용자 이미지
  • 암호화되지 않은 사용자 이름, 비밀번호 및 사용자 ID
  • 보안 구역 출입 기록
  • 시작일을 포함한 직원 기록
  • 직원 보안 수준 및 허가
  • 직원 집 주소 및 이메일을 포함한 개인 정보
  • 기업의 직원 구조 및 계층
  • 모바일 장치 및 OS 정보

이 누출의 가장 놀라운 측면 중 하나는 우리가 액세스 한 계정 암호가 어떻게 보안되지 않았습니까?. "Password"및 "abcd1234"와 같이 많은 계정에 엄청나게 간단한 암호가있었습니다. 사람들이 여전히 깨닫지 못한다고 상상하기 어렵습니다 해커가 자신의 계정에 액세스하는 것이 얼마나 쉬운 지. 

바이오 스타 -2-이지 -PW물론이야, 많은 사용자가 더 복잡하고 효과적인 암호를 만들었습니다 일반적으로 발견하거나 해독하기가 어렵습니다. 하나, BioStar 2 데이터베이스에서 암호를 쉽게 볼 수있었습니다, 안전하게 해시되는 대신 일반 텍스트 파일로 저장되었으므로.

바이오 스타 2- 키바 나누수의 영향을받는 비즈니스 범위는 규모, 위치, 산업 및 사용자가 크게 다릅니다. 전 세계에서 정보를 액세스하고 볼 수있는 비즈니스의 예는 다음과 같습니다.

미국

  • Union Member House – 7,000 명의 사용자가있는 공동 작업 공간 및 소셜 클럽.
  • Lits Link – 소프트웨어 개발 컨설팅.
  • Phoenix Medical – 의료 제품 제조업체.

인도네시아

  • 업타운 – 자카르타 기반의 공동 작업 공간 (123 명).

인도와 스리랑카

  • Power World Gyms – 양국에 지사를 둔 고급 체육관 프랜차이즈. 113,796 명의 사용자 기록과 지문에 접근했습니다.

영국

  • 관련 고분자 자원 – 플라스틱 재활용 전문가.
  • 타일 ​​마운틴 – 가정 장식 및 DIY 공급 업체.  
  • 팔라 의료 – 의료 용품점.

아랍 에미리트

  • 글로벌 빌리지 – 15,000 개의 지문을 이용할 수있는 연례 문화 축제.
  • IFFCO – 소비재 식품 그룹.

핀란드

  • Euro Park – 핀란드 전역에 사이트가있는 주차 공간 개발자. 

터키

  • Ostim – 산업 지대 건설 개발자.   

일본

  • Inspired.Lab – 도쿄 치요 다시의 공동 작업 및 디자인 공간.  

벨기에

  • Adecco Staffing – 우리는 약 2,000 개의 지문이 직원과 인력 거인과 연결되어 있음을 발견했습니다.

독일

  • Identbase –이 상업용 ID 및 액세스 카드 인쇄 기술 공급 업체의 데이터도 노출 된 데이터베이스에서 발견되었습니다..

아마도 이 누출의 가장 큰 관심사는 크기입니다. BioStar 2의 사용자는 전 세계에 퍼져 있으며 정부, 은행, 대학, 국방 계약 업체, 경찰 및 다국적 기업을 포함한 미래의 잠재적 사용자와 함께. 

이 플랫폼은 전 세계적으로 150 만 개가 넘는 설치를 보유하고 있으며,이 모든 것이이 누출에 취약 할 수 있습니다. 영향을받는 사람들의 총 수는 수천만 명에이를 수 있습니다. 

데이터 유출 영향

얼굴 인식 및 지문 정보는 변경할 수 없습니다. 도난당한 후에는 되돌릴 수 없습니다. BioStar 2가이 정보를 저장하는 보안되지 않은 방식은 그 중요성과 보안 회사가 BioStar 2를 구축한다는 사실을 고려할 때 걱정이됩니다.. 

지문 해시를 저장하는 대신 (역 엔지니어링 할 수 없음) 사람들의 실제 지문을 저장하고 있습니다 악의적 인 목적으로 복사 될 수 있습니다.

누출에서 발견 된 모든 데이터를 종합, 모든 종류의 범죄자는이 정보를 다양한 불법 및 위험한 활동에 사용할 수 있습니다.

계정 탈취 및 보안 위반

이 유출로 범죄 해커는 BioStar 2의 관리자 계정에 완전히 액세스 할 수 있습니다. 이를 사용하여 완전한 사용자 권한과 보안 여유가있는 고급 계정을 인수 할 수 있습니다. 전체 네트워크의 보안 설정을 변경. 

사용자 권한을 변경하고 특정 영역에서 사람들을 잠글 수있을뿐만 아니라 얼굴 인식 및 지문이 포함 된 새로운 사용자 계정을 만들어 액세스 할 수 있습니다. 건물 또는 시설 내 구역 확보. 

또한 해커는 기존 계정의 지문을 변경할 수 있습니다 그들 자신과 사용자 계정을 도용 감지되지 않은 제한된 영역에 액세스합니다. 해커와 다른 범죄자들은 ​​잠재적으로 언제든지 사용할 지문 라이브러리를 만듭니다. 그들은 감지되지 않고 어딘가에 들어가기를 원합니다. 

이것은 해커와 그들의 팀을 제공합니다 BioStar 2로 보호되는 모든 제한 구역에 대한 공개 액세스. 또한 활동 로그에 액세스 할 수 있으므로 데이터를 삭제하거나 변경하여 활동을 숨길 수 있습니다.. 

결과적으로, 해킹 된 건물의 전체 보안 인프라가 쓸모 없게 됨. 이 데이터를 가진 사람은 누구나 원하는 곳으로 자유롭게 이동할 수 있습니다..

강도와 사기

해커 나 범죄자가 안전한 건물에 완전히 액세스 할 수있는 가장 확실한 위험은 도난입니다. 그들은 할 수있다 이 데이터베이스를 사용하여 말 그대로 방으로 들어가서 가치있는 것을 취하십시오..

작은 마을 체육관이든 관공서 든 건물의 특성에 관계없이 사실입니다.. 

유출은 또한 해커를 제공합니다 폐쇄 된 네트워크에 액세스 건물 밖에서는 접근하지 못할 수도 있습니다. 이것으로 그들은 할 수 있습니다 중요한 정보를 훔치고 바이러스를 심고 시스템을 모니터링 및 악용하는 등. 

신분 도용 및 사기

BioStar 2 누출에 포함 사용자 이름, 지문 및 이미지와 함께 방대한 양의 개인 정보. 이 포함 고용 기록, 이메일 주소 및 집 주소. 

영향을받는 비즈니스에 대한 보안 문제 외에도 직원과 고객은 이제 사기 및 기타 범죄 대상.

동일한 개인 정보를 사용하여 효과적인 피싱 캠페인 만들기. 피싱 캠페인은 피해자를 속이기 위해 모방 이메일 사용 멀웨어에 포함 된 링크를 클릭하거나 해당 정보를 도용하는 데 사용할 수있는 정보를 제공합니다. 이 유출에 개인 및 전문 정보가 제공되므로 효과적인 피싱 캠페인을 만드는 것은 어렵지 않습니다..

BioStar 2 데이터는 사이버 범죄자를 제공합니다 불법적 인 금전적 이익을 위해 사용자를 악용 할 수있는 견고한 기반. 그들은 또한 할 수 있습니다 어두운 웹에서 지문을 포함한 정보를 판매 다른 범죄자 또는 악의적 인 에이전트에게. 이로 이어질 수 있습니다 무고한 BioStar 2 사용자의 데이터를 사용하여 추적 할 수없는 많은 범죄 활동. 

협박과 강탈

비즈니스에서 액세스 권한을 기반으로 특정 직원을 협박 또는 강탈 대상으로 삼는 것은 전 세계 범죄자가 널리 사용하는 전술입니다. 해커가 신체적 위험에 처하지 않고 귀중한 정보 또는 자산에 액세스. 

위반 BioStar 2의 데이터베이스를 통해 해커는 개인 보안 정보를 볼 수 있습니다 조직 내에서 협박 및 강탈을 위해 고위급 개인을 목표로 함 이것을 기반으로. 

사용 가능한 개인 정보 사용, 개인 정보에 액세스하여 위협을 매우 효과적으로 만들 수 있습니다. 가족이나 관계와 같은 개인적인 취약점을 악용하는 행위. 이것은 넣어 영향을받는 BioStar 2 클라이언트의 직원은 잠재적 인 위험이 매우 큽니다.  

도난당한 지문 사용

지문과 같은 생체 보안을 사용하는 것이 최근 개발되었습니다. 따라서, 지문을 도난 당했을 때의 잠재적 위험은 아직 알려져 있지 않습니다.. 

그러나 기억해야 할 중요한 점은 비밀번호와 달리 도난당한 후에는 지문을 변경할 수 없습니다. 

이것은 지문 데이터 도난을 더욱 심화시킵니다. 지문이 입력 한 비밀번호를 대체합니다 전화와 같은 많은 소비자 품목에. 소비재의 대부분의 지문 스캐너는 암호화되지 않습니다, 해커가 지문을 복제하는 기술을 개발하면 기기에 저장된 메시지, 사진 및 결제 수단과 같은 모든 개인 정보에 액세스. 

이것은 많은 사람들의 잠재적 인 문제 중 하나 일뿐입니다. 

BioStar 2의 경우 현재 가장 큰 문제 중 하나는 평판입니다. 보안 회사가 고객을 완전히 보호하지 못한 것에 대해 우려합니다.

범죄 해커의 손에, 이 데이터는 모두 나중에 사용하기 위해 다운로드하여 저장할 수 있습니다 다양한 범죄. 

전문가의 조언

이 누출은 쉽게 피할 수있었습니다, BioStar 2 제조업체는 기본적인 보안 예방 조치를 취했습니다. 동안 우리가 찾은 정보는 여전히 범죄 해커의 손에 넣을 수있었습니다, BioStar 2 및 Suprema에 다음을 제안합니다.

  1. 더 나은 보호 조치로 서버 보안.
  2. 사용자의 실제 지문을 저장하지 마십시오. 리버스 엔지니어링 할 수없는 해시 버전 저장. 
  3. 데이터베이스에서 적절한 액세스 규칙 구현.
  4. 인증이 필요없는 시스템을 인터넷에 공개하지 마십시오..

역 엔지니어링 할 수없는 지문 해시를 저장하는 대신 실제 지문을 저장하여 악의적 인 목적으로 사본을 만드는 데 사용할 수 있습니다..

BioStar 2 고객에 대한 조언

귀하의 비즈니스 나 조직이 BioStar 2를 사용하고 있고이 데이터 유출의 영향이 우려되는 경우, 자세한 내용은 슈프리마에 문의하십시오. 

우리는 또한 제안 비밀번호를 BioStar 2 대시 보드로 즉시 변경하고 직원에게 개인 비밀번호를 변경하도록 알리기.

또한 직원이 안전한 암호를 생성 할 수 있도록 가이드를 만들거나 직원과 도구를 공유하는 것이 좋습니다. 더 나은 보안을 위해 사용할 수있는 많은 온라인 암호 측정기가 있습니다.

온라인으로 비즈니스를 보호하는 방법에 대한 자세한 가이드는 해커로부터 웹 사이트 및 온라인 데이터베이스를 보호하는 방법을 확인하십시오..

사용자에 대한 조언 

고용주 또는 고객 인 회사가 BioStar 2를 사용하는 경우, 개인 정보, 지문 및 얼굴 인식 데이터가 유출되었을 수 있습니다.

비즈니스 또는 고용주에게 우려 사항을 알리고 데이터 유출을인지하고 있는지 확인해야합니다. 

일반적인 데이터 취약성에 대해 우려되는 경우 온라인 개인 정보 보호에 대한 전체 안내서를 읽으십시오. 사이버 범죄자가 타겟팅 할 수있는 여러 가지 방법과 안전을 유지하기 위해 취할 수있는 단계를 보여줍니다. 

우리가 위반을 발견 한 방법과 이유

vpnMentor의 연구팀은 거대한 웹 매핑 프로젝트. Noam과 ​​Ran이 이끄는 팀은 포트를 스캔하여 친숙한 IP 블록을 찾습니다. 이들은이 블록을 사용하여 회사의 웹 시스템에서 허점을 찾습니다. 이 구멍이 발견되면, 팀은 데이터 유출로 이어질 취약점을 찾습니다.

팀은 BioStar 2 데이터베이스의 상당 부분이 보호되지 않고 대부분 암호화되지 않음을 발견했습니다.. 이 회사는 일반적으로 URL 사용을 위해 설계되지 않은 Elasticsearch 데이터베이스를 사용합니다. 그러나 브라우저를 통해 액세스하고 URL 검색 기준을 조작하여 많은 양의 데이터를 노출시킬 수있었습니다.. 

그들의 전문 지식을 사용하여 데이터베이스의 신원을 확인하기 위해 검사.

윤리적 해커로서, 우리는 보안 결함을 발견하면 웹 사이트에 연락해야합니다. 이는 회사의 데이터 유출이 많은 사람들에게 영향을 미치고 그러한 민감한 데이터를 포함 할 때 특히 그렇습니다.

그러나 이러한 윤리는 또한 우리는 대중에게 책임을진다. BioStar 2 고객과 직원은 사용자를 보호하기위한 노력이 거의없는 기술 사용시 발생할 수있는 위험에 대해 알고 있어야합니다..

회사 및 이전 보고서

멘토 세계 최대의 VPN 검토 웹 사이트입니다.. Google의 연구소는 온라인 커뮤니티가 사이버 위협으로부터 자신을 방어 할 수 있도록 지원하면서 조직의 사용자 데이터 보호에 대한 교육을 제공하는 전문적인 서비스입니다..

최근 8 천만 미국 가정에 영향을 미치는 거대한 데이터 유출이 발견되었습니다. 또한 Gearbest는 대규모 데이터 유출을 경험했습니다. VPN 누출 보고서 및 데이터 개인 정보 통계 보고서를 읽어보십시오..

부디 이 보고서를 Facebook에 공유하십시오 또는 짹짹.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me