Breaking News
AMR | Citrix Webinar: The Next New Normal

นักวิจัยพบฐานข้อมูลลายนิ้วมือและใบหน้ารั่วไหล คาดกระทบผู้ใช้หลายล้านราย

Noam Rotem และ Ran Locar นักวิจัยจาก vpnMentor ได้ออกมาเปิดเผยถึงการค้นพบฐานข้อมูลลายนิ้วมือและใบหน้าของแพลตฟอร์ม BioStar 2 ที่มีการตั้งค่า Elasticsearch Database เอาไว้ไม่ดีทำให้สามารถเข้าถึงข้อมูลขนาดกว่า 23 กิกะไบต์ได้

credit : vpnMentor

BioStar 2 เป็นแพลตฟอร์มแบบ Web-based สำหรับโซลูชัน Smart lock เช่น ระบบเข้าถึงสถานที่ที่ต้องแสกนลายนิ้วมือหรือใบหน้า เป็นต้น ทั้งนี้เจ้าของคือบริษัท Suprema จากเกาหลีใต้นั่นเอง 

ประเด็นคือ 2 นักวิจัยของ vpnMentor ได้ค้นพบการตั้งค่าผิดพลาดที่ Elasticsearch Database ทำให้สามารถเข้าถึงฐานข้อมูลของแพลตฟอร์มได้ผ่านบราวน์เซอร์และยังทำการปรับแต่ง URL ให้เข้าถึงข้อมูลต่างๆ ได้ด้วย โดยข้อมูลที่พบในฐานข้อมูลประกอบด้วย Dashboard ของลูกค้า, Username/Password ที่ไม่ได้เข้ารหัส, บันทึกการเข้าออก, ที่อยู่, อีเมล, ระดับชั้นของการรักษาความปลอดภัย และข้อมูลอุปกรณ์มือถือและ OS เป็นต้น นอกจากนี้นักวิจัยยังชี้ลูกค้าหลายรายยังใช้รหัสผ่านอ่อนแอมาก เช่น abcd1234, Password หรืออื่นๆ สามารถดูวีดีโอจากนักวิจัยได้ตามด้านล่าง

ความน่ากังวลคือหากแฮ็กเกอร์เข้าถึงฐานข้อมูลนี้ได้จะมีรหัสผ่านระดับผู้ดูแลซึ่งนำไปสู่การเข้าถึงองค์กรได้อย่างสมบูรณ์แบบ เช่น สร้างบัญชีใหม่ มีสิทธิ์กระทำการสั่งเปิด/ปิด ทางเข้าออกต่างๆ เป็นต้น แถมลายนิ้วมือกับหน้าคนไม่ได้เป็นสิ่งที่จะแก้ไขได้บ่อยๆ ด้วย

นอกจากนี้ Suprema ยังถือเป็นผู้ให้บริการโซลูชันรายใหญ่และมีฐานลูกค้าจำนวนมากด้วย อย่างไรก็ตามเมื่อนักวิจัยได้แจ้งช่องโหว่ไปหาเจ้าหน้าที่ของบริษัทก็ไม่ค่อยได้เสียงตอบรับที่ดีนักแต่ก็ยังมีการแก้ไขแล้วเมื่อวันที่ 13 สิงหาคมที่ผ่านมา โดยหัวหน้าฝ่ายการตลาดของบริษัทยังมาบอกว่า “หากพบภัยใดที่กระทบต่อบริการหรือผลิตภัณฑ์ของเรา เราจะประกาศแจ้งลูกค้าทันทีอย่างเหมาะสม

ผู้สนใจสามารถติดตามเรื่องราวโดยละเอียดได้จากบล้อกของ vpnMentor

ที่มา :  https://www.securityweek.com/millions-unencrypted-fingerprint-and-facial-biometrics-found-unsecured-database และ  https://www.cbronline.com/news/biostar-2-vpnmentor



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NTT แจ้งเหตุ Security Breach

Nippon Telegraph&Telephone (NTT) บริษัทยักษ์ใหญ่ของญี่ปุ่นได้ออกมาเปิดเผยเหตุถูกโจมตี โดยคนร้ายสามารถลอบเข้าไปขโมยข้อมูลของลูกค้า 621 รายของบริษัทในเครือ NTT Communications

GitHub เตือนนักพัฒนา Java พบมัลแวร์พยายามกระจายตัวผ่าน NetBeans IDE

GitHub เตือนนักพัฒนา Java ให้ระมัดระวังการใช้งาน NetBeans IDE เนื่องจากพบมัลแวร์พยายามกระจายตัวผ่าน IDE โดยพบแล้วใน 26 Repositories บน GitHub