Breaking News

นักวิจัยพบฐานข้อมูลลายนิ้วมือและใบหน้ารั่วไหล คาดกระทบผู้ใช้หลายล้านราย

Noam Rotem และ Ran Locar นักวิจัยจาก vpnMentor ได้ออกมาเปิดเผยถึงการค้นพบฐานข้อมูลลายนิ้วมือและใบหน้าของแพลตฟอร์ม BioStar 2 ที่มีการตั้งค่า Elasticsearch Database เอาไว้ไม่ดีทำให้สามารถเข้าถึงข้อมูลขนาดกว่า 23 กิกะไบต์ได้

credit : vpnMentor

BioStar 2 เป็นแพลตฟอร์มแบบ Web-based สำหรับโซลูชัน Smart lock เช่น ระบบเข้าถึงสถานที่ที่ต้องแสกนลายนิ้วมือหรือใบหน้า เป็นต้น ทั้งนี้เจ้าของคือบริษัท Suprema จากเกาหลีใต้นั่นเอง 

ประเด็นคือ 2 นักวิจัยของ vpnMentor ได้ค้นพบการตั้งค่าผิดพลาดที่ Elasticsearch Database ทำให้สามารถเข้าถึงฐานข้อมูลของแพลตฟอร์มได้ผ่านบราวน์เซอร์และยังทำการปรับแต่ง URL ให้เข้าถึงข้อมูลต่างๆ ได้ด้วย โดยข้อมูลที่พบในฐานข้อมูลประกอบด้วย Dashboard ของลูกค้า, Username/Password ที่ไม่ได้เข้ารหัส, บันทึกการเข้าออก, ที่อยู่, อีเมล, ระดับชั้นของการรักษาความปลอดภัย และข้อมูลอุปกรณ์มือถือและ OS เป็นต้น นอกจากนี้นักวิจัยยังชี้ลูกค้าหลายรายยังใช้รหัสผ่านอ่อนแอมาก เช่น abcd1234, Password หรืออื่นๆ สามารถดูวีดีโอจากนักวิจัยได้ตามด้านล่าง

ความน่ากังวลคือหากแฮ็กเกอร์เข้าถึงฐานข้อมูลนี้ได้จะมีรหัสผ่านระดับผู้ดูแลซึ่งนำไปสู่การเข้าถึงองค์กรได้อย่างสมบูรณ์แบบ เช่น สร้างบัญชีใหม่ มีสิทธิ์กระทำการสั่งเปิด/ปิด ทางเข้าออกต่างๆ เป็นต้น แถมลายนิ้วมือกับหน้าคนไม่ได้เป็นสิ่งที่จะแก้ไขได้บ่อยๆ ด้วย

นอกจากนี้ Suprema ยังถือเป็นผู้ให้บริการโซลูชันรายใหญ่และมีฐานลูกค้าจำนวนมากด้วย อย่างไรก็ตามเมื่อนักวิจัยได้แจ้งช่องโหว่ไปหาเจ้าหน้าที่ของบริษัทก็ไม่ค่อยได้เสียงตอบรับที่ดีนักแต่ก็ยังมีการแก้ไขแล้วเมื่อวันที่ 13 สิงหาคมที่ผ่านมา โดยหัวหน้าฝ่ายการตลาดของบริษัทยังมาบอกว่า “หากพบภัยใดที่กระทบต่อบริการหรือผลิตภัณฑ์ของเรา เราจะประกาศแจ้งลูกค้าทันทีอย่างเหมาะสม

ผู้สนใจสามารถติดตามเรื่องราวโดยละเอียดได้จากบล้อกของ vpnMentor

ที่มา :  https://www.securityweek.com/millions-unencrypted-fingerprint-and-facial-biometrics-found-unsecured-database และ  https://www.cbronline.com/news/biostar-2-vpnmentor


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Homomorphic Encryption: เทคโนโลยีการเข้ารหัสข้อมูลที่เหล่าผู้ให้บริการ Cloud กำลังให้ความสนใจ

ในช่วงหลายปีที่ผ่านมานี้ หนึ่งในเทคโนโลยีที่เหล่าผู้ให้บริการ Cloud ระดับโลกทั้งหลายไม่ว่าจะเป็น Microsoft, Google, AWS และ IBM ต่างก็ให้ความสำคัญในการวิจัยและพัฒนาเครื่องมือต่างๆ ขึ้นมารองรับการใช้งานจริงในระดับ Commercial นั้น ก็คือ Homomorphic Encryption หรือเทคโนโลยีการเข้ารหัสข้อมูลที่ยังเปิดให้ผู้ใช้งานสามารถทำการวิเคราะห์ข้อมูลได้อยู่นั่นเอง

Fortinet เปิดตัว FortiGate E-Series ระดับ High-end ใหม่ 3 รุ่น

Fortinet ประกาศเปิดตัว FortiGate E-Series 3 รุ่นใหม่ ได้แก่ 3300E, 2200E และ 1100E ชูจุดเด่นด้านประสิทธิภาพของ Threat Protection และ …