英国卫报(The Guardian)报导,全球大型保全企业Suprema生物识别云计算平台爆有漏洞,导致数百万用户的指纹、脸部识别等个人信息被公开于网络上。
这项漏洞是由安全公司vpnMentor研究人员Noam Rotem及Ran Locar首先发现。Suprema的BioStar 2为Web化生物识别智能门锁平台,可提供管理员各大楼、厂房的进出管控、管理用户权限、访问人员活动纪录,以及集成第三方安全app。作为生物识别管理方案,BioStar 2利用脸部识别及指纹识别数据来比对人员身份。
Suprema为全球前50大保全企业,上个月才宣布和另一家门禁管理系统企业Nedap合作,将Biostar 2平台和后者的AEOS系统集成。而AEOS拥有全球83国超过5,700家企业客户,包括大小型企业、银行、军方外承包商及伦敦大都会警察。
vpnMentor研究人员在8月5日发现Biostar 2平台有多项漏洞,让他们得以搜索到并访问多个存储大批敏感信息的数据文件,包括超过100万人的指纹、人脸识别信息、未加密的用户名称、密码、手机及OS、以及住家地址、公司组织架构、员工职称,总数超过2780万笔记录共23GB数据。研究人员发现其中不乏password、abcd1234等简单密码。
外泄数据波及大大小小的企业,遍及美国、英国、阿拉伯联合酋长国、芬兰、比利时、德国、日本及东南亚等地。研究人员指出,BioStar2平台全球安装数超过150万,影响员工可能增至数千万。
研究人员8月7日起通报Suprema,但企业一度消极不回应及傲慢不理。最后等8月13日保全公司关上漏洞后,随即昭告天下。虽然遭到冷眼对待,但安全公司仍呼吁用户变更并采取强密码。