นักวิจัยจากบริษัท vpnmentor ในอิสราเอลรายงานถึงฐานข้อมูล Elasticsearch ของบริษัท Suprema ที่ให้บริการควบคุมการเข้าอาคารและลงเวลาทำงานรั่วไหล โดยนักวิจัยสามารถเข้าถึงข้อมูลได้จากอินเทอร์เน็ต
บริการนี้ชื่อว่า Biostar 2 เป็นระบบลงเวลาที่ให้บริการ 1.5 ล้านจุดจาก 5,700 องค์กรใน 83 ประเทศทั่วโลก รวมข้อมูลที่นักวิจัยพบทั้งหมด 27.8 ล้านรายการ ข้อมูลเกือบทั้งหมดไม่มีการเข้ารหัสหรือแฮช ทำให้ผู้ที่เข้าถึงจะได้ ภาพลายนิ้วมือ, ภาพใบหน้า, ชื่อผู้ใช้, รหัสผ่านที่ไม่ได้เข้ารหัส, ระดับสิทธิ์การเข้าอาคาร, ข้อมูลส่วนตัว, และประวัติการใช้งาน ลูกค้าของ Suprema นั้นมีตั้งแต่ธนาคาร, ตำรวจสหราชอาณาจักร, co-working space, ไปจนถึงยิม
ทางนักวิจัยติดต่อ Suprema หลายครั้งแต่ไม่ได้รับการตอบกลับ อย่างไรก็ดีช่องโหว่ถูกปิดไปเมื่อวันพุธที่ผ่านมา
ข้อมูลชีวมาตรอย่างลายนิ้วมือหรือใบหน้านั้นแม้จะเป็นข้อมูลที่สะดวกต่อการยืนยันตัวตน แต่เป็นข้อมูลที่เปลี่ยนแปลงไม่ได้ เมื่อข้อมูลภาพลายนิ้วมือหลุดออกไป คนร้ายสามารถนำภาพไปสร้างลายนิ้วมือเทียมเพื่อยืนยันตัวตน ปลดล็อกโทรศัพท์และอุปกรณ์อื่นโดยผู้เสียหายไม่สามารถเปลี่ยนแปลงแก้ไขใดๆ ได้ตลอดชีวิต
ที่มา - The Guardian

ภาพโดย stux
on
แล้วคือทั้งชีวิตจะเปลี่ยนไม่ไ
KuLiKo Thu, 15/08/2019 - 14:53
แล้วคือทั้งชีวิตจะเปลี่ยนไม่ได้ด้วย ไม่เหมือนรหัสผ่าน
สรุปแล้วอะไรกันแน่ที่ปลอดภัย เริ่มไม่แน่ใจ
ประเด็นนี้น่าสนใจจริงแฮะ
btoy Thu, 15/08/2019 - 15:43
In reply to แล้วคือทั้งชีวิตจะเปลี่ยนไม่ไ by KuLiKo
ประเด็นนี้น่าสนใจจริงแฮะ
ส่วนตัวมองว่า password
osmiumwo1f Thu, 15/08/2019 - 15:50
In reply to ประเด็นนี้น่าสนใจจริงแฮะ by btoy
ส่วนตัวมองว่า password ยังปลอดภัยกว่าตรงที่
hardware token ครับ
McKay Fri, 16/08/2019 - 05:06
In reply to แล้วคือทั้งชีวิตจะเปลี่ยนไม่ไ by KuLiKo
hardware token ครับ
รหัสยังอยู่ในสมอง
MrThursday Fri, 16/08/2019 - 20:19
In reply to แล้วคือทั้งชีวิตจะเปลี่ยนไม่ไ by KuLiKo
รหัสยังอยู่ในสมอง แต่พวกนี้มาขโมยตอนหลับได้
ใครว่าเปลี่ยนใบหน้าไม่ได้
GodPapa Thu, 15/08/2019 - 15:15
ใครว่าเปลี่ยนใบหน้าไม่ได้
ผมก็เห็นเปลี่ยนใบหน้ากันออกจะเยอะแยะ
ปัญหาคือหน้าเหมือนๆ กันอย่างกับฝาแฝด
เขาเก็บข้อมูลแบบไหนกันเนี่ย
IDCET Thu, 15/08/2019 - 15:51
เขาเก็บข้อมูลแบบไหนกันเนี่ย เข้ารหัสหรือเปล่า หรือเป็นภาพข้อมูลดิบเนี่ย อันตรายมากเลยนะ
ข้อมูลเกือบทั้งหมดไม่มีการเข้
hisoft Thu, 15/08/2019 - 22:03
In reply to เขาเก็บข้อมูลแบบไหนกันเนี่ย by IDCET
เกิดใหม่ลูกเดียว
jane Thu, 15/08/2019 - 18:30
เกิดใหม่ลูกเดียว
อื้อหือ อันนี้จุกจริง
Krit04 Thu, 15/08/2019 - 20:17
อื้อหือ อันนี้จุกจริง เกิดใหม่ลูกเดียว
สูงสุดคืนสู่สามัญจริงๆ
MaxxIE Thu, 15/08/2019 - 21:05
สูงสุดคืนสู่สามัญจริงๆ ชีวิตเราๆคงจะเลิกใช้ Password ไม่ได้จริงๆ
fingerprint กับ facial
McKay Fri, 16/08/2019 - 05:15
fingerprint กับ facial recognition data นี่ไม่ควรจะเป็นภาพนะครับ data พวกนี้การ implement ส่วนมากจะเป็น characteristic points ที่ทำการย้อนกลับได้ยากมาก หรือทำไม่ได้เลย
การที่ Suprema นำ actual fingerprints มาใช้นี่บอกได้เลยว่า *** มาก ควรจะโดน class action lawsuit นะ
Suprema เก็บลายนิ้วมือและหน้า
obnetarena Fri, 16/08/2019 - 09:20
In reply to fingerprint กับ facial by McKay
Suprema เก็บลายนิ้วมือและหน้า เป็น Template ของ Suprema เองครับ ไม่ได้เก็บเป็น Raw Image แบบที่เอากลับมาเห็นเป็นภาพได้
ซึ่งก็จะ Implement ต่อยอดจาก ISO/IEC 19794 อีกทีครับ ซึ่งเป็นมาตรฐานว่าด้วยการเก็บ Biometric อ่ะครับ (ตรงนี้ทุกระบบใช้แบบเดียวกัน)
สำหรับลายนิ้วมือจะเป็นการเก็บพวก Minutiae หรือพวกจุดตัดของเส้น และจุดแหว่งครับ
แต่ข้อเท็จจริงอย่างนึงคือใน Database ของ BioStar 2 การเก็บข้อมูล Biometric นี้ถ้าดึงออกมาจะสามารถเอามาใช้ต่อได้เลย (หมายถึงเอามา Verify/Identify) เนื่องจากไม่ได้มีการเข้ารหัสเอาไว้ แต่ไม่สามารถย้อนกลับไปเป็นภาพได้ครับ เพียงแต่พอมันรู้ชื่อว่าเป็นของผม ผมก็ก้อปข้อมูลลายนิ้วมือผม ไปแปะในชื่อของผู้บริหาร แล้วผมก็เข้าไปห้องชั้นความลับถัดไปได้ อะไรแบบนี้มากกว่าครับ
ขอบคุณมากครับ
McKay Fri, 16/08/2019 - 10:21
In reply to Suprema เก็บลายนิ้วมือและหน้า by obnetarena
ขอบคุณมากครับ
เปลี่ยน password หนีไม่ได้
mk- Fri, 16/08/2019 - 12:51
เปลี่ยน password หนีไม่ได้ จบเลย
พลาดข่าวนี้ไปได้ยังไงนี่
port Tue, 20/08/2019 - 20:50
พลาดข่าวนี้ไปได้ยังไงนี่