Tags:
Node Thumbnail

นักวิจัยจากบริษัท vpnmentor ในอิสราเอลรายงานถึงฐานข้อมูล Elasticsearch ของบริษัท Suprema ที่ให้บริการควบคุมการเข้าอาคารและลงเวลาทำงานรั่วไหล โดยนักวิจัยสามารถเข้าถึงข้อมูลได้จากอินเทอร์เน็ต

บริการนี้ชื่อว่า Biostar 2 เป็นระบบลงเวลาที่ให้บริการ 1.5 ล้านจุดจาก 5,700 องค์กรใน 83 ประเทศทั่วโลก รวมข้อมูลที่นักวิจัยพบทั้งหมด 27.8 ล้านรายการ ข้อมูลเกือบทั้งหมดไม่มีการเข้ารหัสหรือแฮช ทำให้ผู้ที่เข้าถึงจะได้ ภาพลายนิ้วมือ, ภาพใบหน้า, ชื่อผู้ใช้, รหัสผ่านที่ไม่ได้เข้ารหัส, ระดับสิทธิ์การเข้าอาคาร, ข้อมูลส่วนตัว, และประวัติการใช้งาน ลูกค้าของ Suprema นั้นมีตั้งแต่ธนาคาร, ตำรวจสหราชอาณาจักร, co-working space, ไปจนถึงยิม

ทางนักวิจัยติดต่อ Suprema หลายครั้งแต่ไม่ได้รับการตอบกลับ อย่างไรก็ดีช่องโหว่ถูกปิดไปเมื่อวันพุธที่ผ่านมา

ข้อมูลชีวมาตรอย่างลายนิ้วมือหรือใบหน้านั้นแม้จะเป็นข้อมูลที่สะดวกต่อการยืนยันตัวตน แต่เป็นข้อมูลที่เปลี่ยนแปลงไม่ได้ เมื่อข้อมูลภาพลายนิ้วมือหลุดออกไป คนร้ายสามารถนำภาพไปสร้างลายนิ้วมือเทียมเพื่อยืนยันตัวตน ปลดล็อกโทรศัพท์และอุปกรณ์อื่นโดยผู้เสียหายไม่สามารถเปลี่ยนแปลงแก้ไขใดๆ ได้ตลอดชีวิต

ที่มา - The Guardian

No Description

ภาพโดย stux

Get latest news from Blognone

Comments

By: KuLiKo
iPhoneWindows PhoneAndroidWindows
on 15 August 2019 - 14:53 #1124030

แล้วคือทั้งชีวิตจะเปลี่ยนไม่ได้ด้วย ไม่เหมือนรหัสผ่าน

สรุปแล้วอะไรกันแน่ที่ปลอดภัย เริ่มไม่แน่ใจ

By: btoy
ContributorAndroidWindows
on 15 August 2019 - 15:43 #1124049 Reply to:1124030
btoy's picture

ประเด็นนี้น่าสนใจจริงแฮะ


..: เรื่อยไป

By: osmiumwo1f
ContributorWindows PhoneWindows
on 15 August 2019 - 15:50 #1124051 Reply to:1124049

ส่วนตัวมองว่า password ยังปลอดภัยกว่าตรงที่
- ผู้ใช้ตั้งแบบยากๆ ได้
- การเปลี่ยนรหัสผ่านแทบไม่มีค่าใช้จ่าย

By: McKay
ContributorAndroidWindowsIn Love
on 16 August 2019 - 05:06 #1124101 Reply to:1124030
McKay's picture

hardware token ครับ


In Soviet Warcraft, Argus comes to you.

By: MrThursday
ContributorRed HatUbuntuWindows
on 16 August 2019 - 20:19 #1124170 Reply to:1124030

รหัสยังอยู่ในสมอง แต่พวกนี้มาขโมยตอนหลับได้

By: GodPapa
iPhoneWindows PhoneAndroidBlackberry
on 15 August 2019 - 15:15 #1124038
GodPapa's picture

ใครว่าเปลี่ยนใบหน้าไม่ได้
ผมก็เห็นเปลี่ยนใบหน้ากันออกจะเยอะแยะ
ปัญหาคือหน้าเหมือนๆ กันอย่างกับฝาแฝด

By: IDCET
Contributor
on 15 August 2019 - 15:51 #1124052

เขาเก็บข้อมูลแบบไหนกันเนี่ย เข้ารหัสหรือเปล่า หรือเป็นภาพข้อมูลดิบเนี่ย อันตรายมากเลยนะ

By: hisoft
ContributorWindows PhoneWindows
on 15 August 2019 - 22:03 #1124091 Reply to:1124052
hisoft's picture

ข้อมูลเกือบทั้งหมดไม่มีการเข้ารหัสหรือแฮช

By: jane
AndroidUbuntu
on 15 August 2019 - 18:30 #1124072
jane's picture

เกิดใหม่ลูกเดียว

By: Krit04
iPhoneWindows
on 15 August 2019 - 20:17 #1124080
Krit04's picture

อื้อหือ อันนี้จุกจริง เกิดใหม่ลูกเดียว

By: MaxxIE
iPhoneAndroidUbuntuWindows
on 15 August 2019 - 21:05 #1124082
MaxxIE's picture

สูงสุดคืนสู่สามัญจริงๆ ชีวิตเราๆคงจะเลิกใช้ Password ไม่ได้จริงๆ

By: McKay
ContributorAndroidWindowsIn Love
on 16 August 2019 - 05:15 #1124102
McKay's picture

Instead of saving a hash of the fingerprint (that can’t be reverse-engineered) they are saving people’s actual fingerprints that can be copied for malicious purposes

fingerprint กับ facial recognition data นี่ไม่ควรจะเป็นภาพนะครับ data พวกนี้การ implement ส่วนมากจะเป็น characteristic points ที่ทำการย้อนกลับได้ยากมาก หรือทำไม่ได้เลย

การที่ Suprema นำ actual fingerprints มาใช้นี่บอกได้เลยว่า *** มาก ควรจะโดน class action lawsuit นะ


In Soviet Warcraft, Argus comes to you.

By: obnetarena
Windows PhoneWindows
on 16 August 2019 - 09:20 #1124117 Reply to:1124102

Suprema เก็บลายนิ้วมือและหน้า เป็น Template ของ Suprema เองครับ ไม่ได้เก็บเป็น Raw Image แบบที่เอากลับมาเห็นเป็นภาพได้
ซึ่งก็จะ Implement ต่อยอดจาก ISO/IEC 19794 อีกทีครับ ซึ่งเป็นมาตรฐานว่าด้วยการเก็บ Biometric อ่ะครับ (ตรงนี้ทุกระบบใช้แบบเดียวกัน)

สำหรับลายนิ้วมือจะเป็นการเก็บพวก Minutiae หรือพวกจุดตัดของเส้น และจุดแหว่งครับ

แต่ข้อเท็จจริงอย่างนึงคือใน Database ของ BioStar 2 การเก็บข้อมูล Biometric นี้ถ้าดึงออกมาจะสามารถเอามาใช้ต่อได้เลย (หมายถึงเอามา Verify/Identify) เนื่องจากไม่ได้มีการเข้ารหัสเอาไว้ แต่ไม่สามารถย้อนกลับไปเป็นภาพได้ครับ เพียงแต่พอมันรู้ชื่อว่าเป็นของผม ผมก็ก้อปข้อมูลลายนิ้วมือผม ไปแปะในชื่อของผู้บริหาร แล้วผมก็เข้าไปห้องชั้นความลับถัดไปได้ อะไรแบบนี้มากกว่าครับ

By: McKay
ContributorAndroidWindowsIn Love
on 16 August 2019 - 10:21 #1124125 Reply to:1124117
McKay's picture

ขอบคุณมากครับ


In Soviet Warcraft, Argus comes to you.

By: mk-
Symbian
on 16 August 2019 - 12:51 #1124144
mk-'s picture

เปลี่ยน password หนีไม่ได้ จบเลย

By: port on 20 August 2019 - 20:50 #1124479

พลาดข่าวนี้ไปได้ยังไงนี่