นักวิจัยพบฐานข้อมูลลายนิ้วมือและใบหน้ารั่วไหล คาดกระทบผู้ใช้หลายล้านราย

Noam Rotem และ Ran Locar นักวิจัยจาก vpnMentor ได้ออกมาเปิดเผยถึงการค้นพบฐานข้อมูลลายนิ้วมือและใบหน้าของแพลตฟอร์ม BioStar 2 ที่มีการตั้งค่า Elasticsearch Database เอาไว้ไม่ดีทำให้สามารถเข้าถึงข้อมูลขนาดกว่า 23 กิกะไบต์ได้

credit : vpnMentor

BioStar 2 เป็นแพลตฟอร์มแบบ Web-based สำหรับโซลูชัน Smart lock เช่น ระบบเข้าถึงสถานที่ที่ต้องแสกนลายนิ้วมือหรือใบหน้า เป็นต้น ทั้งนี้เจ้าของคือบริษัท Suprema จากเกาหลีใต้นั่นเอง 

ประเด็นคือ 2 นักวิจัยของ vpnMentor ได้ค้นพบการตั้งค่าผิดพลาดที่ Elasticsearch Database ทำให้สามารถเข้าถึงฐานข้อมูลของแพลตฟอร์มได้ผ่านบราวน์เซอร์และยังทำการปรับแต่ง URL ให้เข้าถึงข้อมูลต่างๆ ได้ด้วย โดยข้อมูลที่พบในฐานข้อมูลประกอบด้วย Dashboard ของลูกค้า, Username/Password ที่ไม่ได้เข้ารหัส, บันทึกการเข้าออก, ที่อยู่, อีเมล, ระดับชั้นของการรักษาความปลอดภัย และข้อมูลอุปกรณ์มือถือและ OS เป็นต้น นอกจากนี้นักวิจัยยังชี้ลูกค้าหลายรายยังใช้รหัสผ่านอ่อนแอมาก เช่น abcd1234, Password หรืออื่นๆ สามารถดูวีดีโอจากนักวิจัยได้ตามด้านล่าง

ความน่ากังวลคือหากแฮ็กเกอร์เข้าถึงฐานข้อมูลนี้ได้จะมีรหัสผ่านระดับผู้ดูแลซึ่งนำไปสู่การเข้าถึงองค์กรได้อย่างสมบูรณ์แบบ เช่น สร้างบัญชีใหม่ มีสิทธิ์กระทำการสั่งเปิด/ปิด ทางเข้าออกต่างๆ เป็นต้น แถมลายนิ้วมือกับหน้าคนไม่ได้เป็นสิ่งที่จะแก้ไขได้บ่อยๆ ด้วย

นอกจากนี้ Suprema ยังถือเป็นผู้ให้บริการโซลูชันรายใหญ่และมีฐานลูกค้าจำนวนมากด้วย อย่างไรก็ตามเมื่อนักวิจัยได้แจ้งช่องโหว่ไปหาเจ้าหน้าที่ของบริษัทก็ไม่ค่อยได้เสียงตอบรับที่ดีนักแต่ก็ยังมีการแก้ไขแล้วเมื่อวันที่ 13 สิงหาคมที่ผ่านมา โดยหัวหน้าฝ่ายการตลาดของบริษัทยังมาบอกว่า “หากพบภัยใดที่กระทบต่อบริการหรือผลิตภัณฑ์ของเรา เราจะประกาศแจ้งลูกค้าทันทีอย่างเหมาะสม

ผู้สนใจสามารถติดตามเรื่องราวโดยละเอียดได้จากบล้อกของ vpnMentor

ที่มา :  https://www.securityweek.com/millions-unencrypted-fingerprint-and-facial-biometrics-found-unsecured-database และ  https://www.cbronline.com/news/biostar-2-vpnmentor



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์บนแอนดรอยด์ลอบขโมยโค้ด 2FA จาก Google Authenticator

ผู้เชี่ยวชาญจาก ThreatFabric ได้ออกเตือนว่าเริ่มพบ Banking Trojan ที่มีความสามารถในการขโมยโค้ด 2FA ที่ได้จาก Google Authenticator บนแอนดรอยด์

Zyxel ออกแพตช์อุดช่องโหว่ Zero-day ให้ NAS และ Firewall เตือนผู้ใช้เร่งอัปเดต

เมื่อไม่มีกี่วันที่ผ่านมาทาง Zyxel ได้ออกแพตช์ช่องโหว่ Zero-day ให้ผลิตภัณฑ์ NAS หลายรุ่น ต่อมายังส่งผลกระทบกับ Firewall อีกถึงหลายสิบรุ่นเช่นกัน ด้วยเหตุนี้จึงแนะนำให้อัปเดต