“Suprema的BioStar 2系统保存了生物识别技术”

在网上发现了100多万条生物识别新闻，包括指纹、面部识别配置文件、未加密的客户姓名和密码、员工个人新闻等。 暴露的数据库似乎属于suprema。 这是一家销售基于biostar 2互联网的生物识别系统的安全公司，用于获取建筑物。

suprema的biostar 2暴露了100万个生物特征剖面

上个月，suprema宣布将biostar 2系统整合到另一个叫做aeos的门禁管理系统中。 包括政府、银行和英国大都会警察在内的83个国家的700个组织采用了EOS。

以色列安全研究人员noam rotem和ranlocar与vpnmentor安全团队合作，以验证虚拟专用互联网( vpn )服务、扫描端口和寻找熟悉的ip模块

在上周的搜索中，我们发现了无保护、大部分未加密的biostar 2数据库。 该数据库共有2780万条记录，包括管理面板、控制板、指纹数据、面部识别数据、客户脸部照片、未加密客户名称和密码、设施访问日志、安全级别和许可、员工个人详细新闻等

研究人员表示，管理员的证书似乎也是明文保存的。 他们还声称可以更改数据库中的数据并添加新客户。 也就是说，研究人员可以创建biostar 2帐户，添加自己的指纹，以便客户可以访问所有可以访问的建筑物。 本质上，biostar 2对访问数据库的任何人都没有用。

suprema允许黑客轻松窃取生物认证数据

研究人员表示，suprema不仅无法保护数据库免受互联网访问的侵害。 另外，也无法使用域最佳实践进行生物认证，如不将实际指纹和面部识别新闻存储在自己服务器上的集中数据库中。

研究人员在他们的论文中谈到了suprema :

不是留下指纹的散列，而是为了恶意的目的而留下可以复制的实际指纹。

苹果和大部分安卓高端智能手机制造商等企业为了不保存实际的生物认证数据，采用了在设定时为生物认证数据创建加密哈希值的方法。 这样，即使有人想要从安全加密或安卓Strong box硬件安全模块(谷歌的titan m等)中泄露这些数据，他们也不能提取出太有用的生物认证数据。

相比之下，从suprema和其他集中式生物认证数据库中窃取的生物认证数据可能被恶意行为者永久重用。 受影响客户的唯一缓解措施是将来使用其他指纹进行生物识别，或者将来生物识别系统会更先进，不再使用陈旧、更基本的被盗生物识别数据。

本文：《“Suprema的BioStar 2系统保存了生物识别技术”》