Breaking News

นักวิจัยพบฐานข้อมูลลายนิ้วมือและใบหน้ารั่วไหล คาดกระทบผู้ใช้หลายล้านราย

Noam Rotem และ Ran Locar นักวิจัยจาก vpnMentor ได้ออกมาเปิดเผยถึงการค้นพบฐานข้อมูลลายนิ้วมือและใบหน้าของแพลตฟอร์ม BioStar 2 ที่มีการตั้งค่า Elasticsearch Database เอาไว้ไม่ดีทำให้สามารถเข้าถึงข้อมูลขนาดกว่า 23 กิกะไบต์ได้

credit : vpnMentor

BioStar 2 เป็นแพลตฟอร์มแบบ Web-based สำหรับโซลูชัน Smart lock เช่น ระบบเข้าถึงสถานที่ที่ต้องแสกนลายนิ้วมือหรือใบหน้า เป็นต้น ทั้งนี้เจ้าของคือบริษัท Suprema จากเกาหลีใต้นั่นเอง 

ประเด็นคือ 2 นักวิจัยของ vpnMentor ได้ค้นพบการตั้งค่าผิดพลาดที่ Elasticsearch Database ทำให้สามารถเข้าถึงฐานข้อมูลของแพลตฟอร์มได้ผ่านบราวน์เซอร์และยังทำการปรับแต่ง URL ให้เข้าถึงข้อมูลต่างๆ ได้ด้วย โดยข้อมูลที่พบในฐานข้อมูลประกอบด้วย Dashboard ของลูกค้า, Username/Password ที่ไม่ได้เข้ารหัส, บันทึกการเข้าออก, ที่อยู่, อีเมล, ระดับชั้นของการรักษาความปลอดภัย และข้อมูลอุปกรณ์มือถือและ OS เป็นต้น นอกจากนี้นักวิจัยยังชี้ลูกค้าหลายรายยังใช้รหัสผ่านอ่อนแอมาก เช่น abcd1234, Password หรืออื่นๆ สามารถดูวีดีโอจากนักวิจัยได้ตามด้านล่าง

ความน่ากังวลคือหากแฮ็กเกอร์เข้าถึงฐานข้อมูลนี้ได้จะมีรหัสผ่านระดับผู้ดูแลซึ่งนำไปสู่การเข้าถึงองค์กรได้อย่างสมบูรณ์แบบ เช่น สร้างบัญชีใหม่ มีสิทธิ์กระทำการสั่งเปิด/ปิด ทางเข้าออกต่างๆ เป็นต้น แถมลายนิ้วมือกับหน้าคนไม่ได้เป็นสิ่งที่จะแก้ไขได้บ่อยๆ ด้วย

นอกจากนี้ Suprema ยังถือเป็นผู้ให้บริการโซลูชันรายใหญ่และมีฐานลูกค้าจำนวนมากด้วย อย่างไรก็ตามเมื่อนักวิจัยได้แจ้งช่องโหว่ไปหาเจ้าหน้าที่ของบริษัทก็ไม่ค่อยได้เสียงตอบรับที่ดีนักแต่ก็ยังมีการแก้ไขแล้วเมื่อวันที่ 13 สิงหาคมที่ผ่านมา โดยหัวหน้าฝ่ายการตลาดของบริษัทยังมาบอกว่า “หากพบภัยใดที่กระทบต่อบริการหรือผลิตภัณฑ์ของเรา เราจะประกาศแจ้งลูกค้าทันทีอย่างเหมาะสม

ผู้สนใจสามารถติดตามเรื่องราวโดยละเอียดได้จากบล้อกของ vpnMentor

ที่มา :  https://www.securityweek.com/millions-unencrypted-fingerprint-and-facial-biometrics-found-unsecured-database และ  https://www.cbronline.com/news/biostar-2-vpnmentor



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Facebook เปิดตัว Pysa เครื่องมือ Open Source Static Analysis เสริมความมั่นคงปลอดภัยให้โค้ด Python

Facebook ได้ออกมาประกาศเปิด Open Source ให้กับ Pysa เครื่องมือ Static Analysis Tool ที่ Facebook ได้พัฒนาขึ้นมาเพื่อตรวจจับและป้องกันประเด็นด้าน Security และ Privacy ภายในโค้ดภาษา Python

มือดีเผยแพร่ข้อมูลภายในของ Intel ขนาดกว่า 20 GB

Till Kottmann วิศวกรซอฟต์แวร์ชาวสวิสซ์ได้อัปโหลดข้อมูลภายในของ Intel โดยอ้างว่าตนได้รับการติดต่อจากแฮ็กเกอร์ซึ่งอ้างว่าลอบขโมยมาได้