ฐานข้อมูลระบบควบคุมประตูอิเล็กทรอนิกส์รั่วไหล ภาพลายนิ้วมือ, ภาพใบหน้า, รหัสผ่าน ของผู้ใช้นับล้านหลุด

By: lew
Founder Jusci's WriterMEconomics Android
on 15 August 2019 - 13:43 Tags:
Topics: 
Biometric
Privacy
Data Breach
Node Thumbnail

นักวิจัยจากบริษัท vpnmentor ในอิสราเอลรายงานถึงฐานข้อมูล Elasticsearch ของบริษัท Suprema ที่ให้บริการควบคุมการเข้าอาคารและลงเวลาทำงานรั่วไหล โดยนักวิจัยสามารถเข้าถึงข้อมูลได้จากอินเทอร์เน็ต

บริการนี้ชื่อว่า Biostar 2 เป็นระบบลงเวลาที่ให้บริการ 1.5 ล้านจุดจาก 5,700 องค์กรใน 83 ประเทศทั่วโลก รวมข้อมูลที่นักวิจัยพบทั้งหมด 27.8 ล้านรายการ ข้อมูลเกือบทั้งหมดไม่มีการเข้ารหัสหรือแฮช ทำให้ผู้ที่เข้าถึงจะได้ ภาพลายนิ้วมือ, ภาพใบหน้า, ชื่อผู้ใช้, รหัสผ่านที่ไม่ได้เข้ารหัส, ระดับสิทธิ์การเข้าอาคาร, ข้อมูลส่วนตัว, และประวัติการใช้งาน ลูกค้าของ Suprema นั้นมีตั้งแต่ธนาคาร, ตำรวจสหราชอาณาจักร, co-working space, ไปจนถึงยิม

ทางนักวิจัยติดต่อ Suprema หลายครั้งแต่ไม่ได้รับการตอบกลับ อย่างไรก็ดีช่องโหว่ถูกปิดไปเมื่อวันพุธที่ผ่านมา

ข้อมูลชีวมาตรอย่างลายนิ้วมือหรือใบหน้านั้นแม้จะเป็นข้อมูลที่สะดวกต่อการยืนยันตัวตน แต่เป็นข้อมูลที่เปลี่ยนแปลงไม่ได้ เมื่อข้อมูลภาพลายนิ้วมือหลุดออกไป คนร้ายสามารถนำภาพไปสร้างลายนิ้วมือเทียมเพื่อยืนยันตัวตน ปลดล็อกโทรศัพท์และอุปกรณ์อื่นโดยผู้เสียหายไม่สามารถเปลี่ยนแปลงแก้ไขใดๆ ได้ตลอดชีวิต

ที่มา - The Guardian

No Description

ภาพโดย stux

Get latest news from Blognone

Comments

By: KuLiKo
Contributor iPhone Windows Phone Android
on 15 August 2019 - 14:53 #1124030
KuLiKo's picture

แล้วคือทั้งชีวิตจะเปลี่ยนไม่ได้ด้วย ไม่เหมือนรหัสผ่าน

สรุปแล้วอะไรกันแน่ที่ปลอดภัย เริ่มไม่แน่ใจ

By: btoy
Contributor Android Windows
on 15 August 2019 - 15:43 #1124049 Reply to:1124030
btoy's picture

ประเด็นนี้น่าสนใจจริงแฮะ

..: เรื่อยไป

By: osmiumwo1f
Contributor Windows Phone Windows
on 15 August 2019 - 15:50 #1124051 Reply to:1124049
osmiumwo1f's picture

ส่วนตัวมองว่า password ยังปลอดภัยกว่าตรงที่
- ผู้ใช้ตั้งแบบยากๆ ได้
- การเปลี่ยนรหัสผ่านแทบไม่มีค่าใช้จ่าย

By: McKay
Contributor Android WindowsIn Love
on 16 August 2019 - 05:06 #1124101 Reply to:1124030
McKay's picture

hardware token ครับ

Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)

By: MrThursday
Contributor Red Hat Ubuntu Windows
on 16 August 2019 - 20:19 #1124170 Reply to:1124030

รหัสยังอยู่ในสมอง แต่พวกนี้มาขโมยตอนหลับได้

By: GodPapa
iPhone Windows Phone Android Blackberry
on 15 August 2019 - 15:15 #1124038
GodPapa's picture

ใครว่าเปลี่ยนใบหน้าไม่ได้
ผมก็เห็นเปลี่ยนใบหน้ากันออกจะเยอะแยะ
ปัญหาคือหน้าเหมือนๆ กันอย่างกับฝาแฝด

By: IDCET
Contributor
on 15 August 2019 - 15:51 #1124052

เขาเก็บข้อมูลแบบไหนกันเนี่ย เข้ารหัสหรือเปล่า หรือเป็นภาพข้อมูลดิบเนี่ย อันตรายมากเลยนะ

ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว

By: hisoft
Contributor Windows Phone Windows
on 15 August 2019 - 22:03 #1124091 Reply to:1124052
hisoft's picture

ข้อมูลเกือบทั้งหมดไม่มีการเข้ารหัสหรือแฮช

By: jane
Android Ubuntu
on 15 August 2019 - 18:30 #1124072
jane's picture

เกิดใหม่ลูกเดียว

By: Krit04
iPhone Windows
on 15 August 2019 - 20:17 #1124080
Krit04's picture

อื้อหือ อันนี้จุกจริง เกิดใหม่ลูกเดียว

By: MaxxIE
iPhone Android Ubuntu Windows
on 15 August 2019 - 21:05 #1124082
MaxxIE's picture

สูงสุดคืนสู่สามัญจริงๆ ชีวิตเราๆคงจะเลิกใช้ Password ไม่ได้จริงๆ

By: McKay
Contributor Android WindowsIn Love
on 16 August 2019 - 05:15 #1124102
McKay's picture

Instead of saving a hash of the fingerprint (that can’t be reverse-engineered) they are saving people’s actual fingerprints that can be copied for malicious purposes

fingerprint กับ facial recognition data นี่ไม่ควรจะเป็นภาพนะครับ data พวกนี้การ implement ส่วนมากจะเป็น characteristic points ที่ทำการย้อนกลับได้ยากมาก หรือทำไม่ได้เลย

การที่ Suprema นำ actual fingerprints มาใช้นี่บอกได้เลยว่า *** มาก ควรจะโดน class action lawsuit นะ

Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)

By: obnetarena
Windows Phone Windows
on 16 August 2019 - 09:20 #1124117 Reply to:1124102

Suprema เก็บลายนิ้วมือและหน้า เป็น Template ของ Suprema เองครับ ไม่ได้เก็บเป็น Raw Image แบบที่เอากลับมาเห็นเป็นภาพได้ซึ่งก็จะ Implement ต่อยอดจาก ISO/IEC 19794 อีกทีครับ ซึ่งเป็นมาตรฐานว่าด้วยการเก็บ Biometric อ่ะครับ (ตรงนี้ทุกระบบใช้แบบเดียวกัน)

สำหรับลายนิ้วมือจะเป็นการเก็บพวก Minutiae หรือพวกจุดตัดของเส้น และจุดแหว่งครับ

แต่ข้อเท็จจริงอย่างนึงคือใน Database ของ BioStar 2 การเก็บข้อมูล Biometric นี้ถ้าดึงออกมาจะสามารถเอามาใช้ต่อได้เลย (หมายถึงเอามา Verify/Identify) เนื่องจากไม่ได้มีการเข้ารหัสเอาไว้ แต่ไม่สามารถย้อนกลับไปเป็นภาพได้ครับ เพียงแต่พอมันรู้ชื่อว่าเป็นของผม ผมก็ก้อปข้อมูลลายนิ้วมือผม ไปแปะในชื่อของผู้บริหาร แล้วผมก็เข้าไปห้องชั้นความลับถัดไปได้ อะไรแบบนี้มากกว่าครับ

By: McKay
Contributor Android WindowsIn Love
on 16 August 2019 - 10:21 #1124125 Reply to:1124117
McKay's picture

ขอบคุณมากครับ

Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)

By: mk-
Symbian
on 16 August 2019 - 12:51 #1124144
mk-'s picture

เปลี่ยน password หนีไม่ได้ จบเลย

By: port on 20 August 2019 - 20:50 #1124479

พลาดข่าวนี้ไปได้ยังไงนี่