0
0
Исследователи связывают с
vpnMentor, который предоставляет отзывы виртуальная частная сеть, в среду сообщил данные нарушения с участием почти 28 миллионов записей в Биостар 2 базы данных биометрической защиты принадлежащих
Супрема.
«Базы данных биостар 2 осталась открытой и незашифрованной,» vpnMentor сказал в электронной почте, предоставленной мультфильмы одним сотрудником компании, который представился как «парень».
«После того, как мы вышли на них, они смогли закрыть утечку», — сказал vpnMentor.
Компания Супрема 2 веб-основе является, открытой, интегрированной платформы безопасности.
Утечка была обнаружена на августа. 5 и vpnMentor потянулся к Супрема на августа. 7. Утечка была закрыта августа. 13.
Что Было Взято
Команда vpnMentor получили доступ к клиентским админ панели, панели мониторинга, серверной управления и права, которое в конечном счете подвергается 23 ГБ записи:
- Данные об отпечатках пальцев;
- Информация распознавания изображений лиц и пользователей;
- Незашифрованные имена пользователей, пароли и идентификаторы пользователей;
- Учет въезда и выезда в безопасные районы;
- Записи о работниках, включая даты начала;
- Уровень безопасности сотрудников и зазоров;
- Личные данные, включая домашний адрес и электронную почту;
- Структуры бизнеса, работника и иерархии; и
- Мобильные устройства и информацию об операционной системе.
Команда была в состоянии получить доступ к информации из различных предприятий по всему миру:
- Соединенные Штаты организации Дом-членов Союза, лиц ссылке и Феникс медицинский;
- В Великобритании, связанного полимера ресурсы, горы плитки и Farla медицинское;
- В Финляндии евро-парк;
- Япония вдохновляет.Лаборатории;
- Бельгийская компания СДС штатного расписания; и
- Identbase.de Германии.
В vpnMentor данных выявил дали бы каких-либо преступников, которые, возможно, приобрел его полным доступ к учетным записям администратора на Биостар 2. Это позволит преступникам завладеть высокого уровня учетных записей с полными правами пользователя и зазоры безопасности; вносить изменения в сетевые настройки безопасности; и создание новых учетных записей пользователей, выполните с помощью функции распознавания лиц и отпечатков пальцев, чтобы получить доступ к защищенным областям.
Данные также позволит хакерам взломать учетные записи пользователей и изменить биометрические данные в них получить доступ к ограниченным областям. Они будут иметь доступ к логам активности, поэтому их действия могут быть скрыты или удалены. Украденные данные позволят фишинговых кампаний, направленных против высокопоставленных лиц, и сделать фишинг легче.
«Там не много, то потребитель может сделать здесь, поскольку вы не можете реально изменить ваши отпечатки пальцев или строение лица», — заметил Роберт Кэппс, стратег проверки подлинности на
Безопасности NuData, а компании «Мастеркард».
Однако, вор данных потребуется доступ к устройству потребителя к совершению мошенничества биометрической аутентификации на этом уровне.
«Данные не бесплатно», — отметил Колин Bastable, генеральный директор
Безопасность Люси.
«Есть ответственность, которая идет с захвата. Если вы не можете себе это позволить, не держите его,» он сказал, что школа в аварийном состоянии.
Уход кормление и паролей
Многие из этих счетов простые пароли вроде «пароль» и «abcd1234,» vpnMentor указал.
«Я не вижу никаких оправданий, используя такие пароли для реальных приложений», — сказал Bastable.
Пока «эти общие пароли к потребителям», — рассказал Кэппс мультфильмы. «Кроме того, возможно, что эти пароли по умолчанию, когда учетная запись была создана, но никогда не изменятся».
Используя простые пароли для любых целей является «невероятно плохая идея», — заявил Кэппс. «Это лучшая практика, чтобы создать сложный пароль, который легко запоминается или использовать менеджер паролей, чтобы создавать сложные пароли, уникальные для одной учетной записи».
Лучшие практики и стандарты для безопасного и надежного хранения паролей «были доступны в течение многих десятилетий», — отметил он.
Команда vpnMentor легко рассматривать более сложные пароли, используемые с других счетов в Биостар базе 2, потому что они хранились в виде текстовых файлов, вместо того, чтобы надежно хэширован.
«Если [это] по-настоящему, то это принципиальный отказ от практики безопасности», — сказал Bastable. «Это не так, если шифрование является потерянное искусство или безумно дорогие.»
Пароли никогда не должны храниться в виде обычного текста, капс получает. Даже хэширования паролей могут быть проблемы, если используется слабый алгоритм или короткий пароль.
«Много слабых алгоритмов хэширования имели ‘радужные таблицы’ — для строк текстовых пересчитывать хеши простых, которые позволяют хешированный пароль должен быть преобразован обратно в их текстовом формате», — пояснил он. «Это позволяет для простого восстановления некоторых хэшированных данных».
Большую Опасность
Супрема этой весной
объявила об интеграции своего Биостар 2 решение с системой контроля доступа УЭО от Неадап.
Более 5700 организаций в 83 странах использование УЭО. К таким подразделениям относятся предприятия, правительства, банков и Великобритании столичной полиции.
Интеграция настолько плавный, что операторы смогут продолжить работу в УЭО для управления пальцем и регистрации биометрических идентификаторов без переключения экранов. Биометрические профили хранятся в Биостар и постоянно синхронизированный с УЭО. Синхронизации по протоколу SSL-сертификаты защитите.
Как и клиенты Неадап по Супрема разбираться с исключительным разнообразием требований безопасности.
«Это может сделать комплексная реализация проекта в натуру. Основная цель такой интеграции всегда было обеспечить действительно гибкое и масштабируемое решение, которое легко внедрить и поддерживать», — отметил Рубен Бринкман, менеджер альянса в Nedcap.
«Это указывает на серьезную проблему. Удобство достигается на высоком, но скрытых расходов с точки зрения компрометации безопасности», — сказал Bastable. «Когда вы легко интегрируются с другой технологии, вы принимаете их в целях обеспечения безопасности и силы их вашим клиентам.»
Первые проекты, основанные на технологии обеих фирм в трубопроводе.
«В целом, биометрической верификации по-прежнему эффективна и безопасна», — NuData по Кэппс отметил. «Отдельные реализации могут быть подозреваемый, в зависимости от сложности, хватка безопасности и перспективные проекты реализованы.»
Биометрические системы и безопасность
«К сожалению, есть предположение, что охранные компании, которые предлагают [биометрический] технологии сами по себе являются образцами добродетели безопасности», — Bastable безопасности Люси сказала.
«Задать трудные вопросы безопасности данных. Не верь, но перепроверь, потому что ваша собственная охрана не полагается на сторонних поставщиков и партнеров», — посоветовал он.
«Шифровки» Bastable добавил. «Использовать аппаратный ключ защиты. Токенизация. Есть продуманная политика, проверить его, и не позволить суперпользователи, которые могут злоупотреблять своим доступ».
