[English] محققان امنیتی در شرکت برزیلی Antheus Tecnologia با یک نشت اطلاعات زیاد مواجه شدند ، که راه حل های بیومتریک را در برزیل و خارج از کشور توسعه داده و می فروشد. بیش از 80 میلیون پرونده از جمله ایمیل از کارمندان شرکت ، شماره تلفن ، 76000 اثر انگشت منحصر به فرد ، و غیره در دسترس بود.
Antheus Tecnologia در آوریل 1996 تأسیس شد. این سیستم های شناسایی خودکار اثر انگشت (AFIS) ، اثر انگشت خودکار و سیستم های دیگری مانند دستگاه های تشخیص عنبیه را توسعه داده و می فروشد.
ives (منبع: SafetyDet ، برای بزرگنمایی کلیک کنید)
Antheus Tecnologia ادعا می کند که این اولین شرکت برزیلی است که مجوز دفتر تحقیقات فدرال آمریکا (FBI) را بدست آورده و راه حل های بیومتریک را برای مشتری در در خانه و خارج از کشور
16 گیگابایت نشت داده ها روی سرور هویت
تیم SafetyDetectives حدود 16 گیگ داده از داده ها را که می توان از طریق اینترنت به هنگام دسترسی به اینترنت در شرکت سرور Elasticsearch دسترسی پیدا کرد ، پیدا کرد. پرونده ها حاوی اطلاعات بسیار محرمانه ای بودند که امکان شناسایی افراد و داده های بیومتریک را فراهم می آورد.
(منبع: SafetyDetectives ، برای بزرگنمایی کلیک کنید)
سرور Antheus که توسط تیم امنیتی بررسی شده است یک سرور هویت است. این امکان دسترسی کاربران به سیستم یا امکان ثبت نام به عنوان کاربر جدید را فراهم می کند.
به گفته محققان امنیتی ، سرور همچنین اطلاعات اثر انگشت را حداقل با دو "فهرست" (از 91) ذخیره می کند. تیم امنیتی در مجموع نزدیک به 2.3 میلیون نقطه داده کشف کردند و تخمین می زنند 76000 اثر انگشت منحصر به فرد در بانک اطلاعاتی ذخیره می شود.
چه اطلاعاتی تحت تأثیر نشت داده ها قرار می گیرد؟
سرور Antheus سرورها و پرونده های دسترسی API را ذخیره کرد ، اما همچنین حاوی داده های اثر انگشت متشکل از تقسیم ستون فقرات و عملکرد انتهای ستون فقرات – عناصر لازم برای شناسایی و تأیید اثر انگشت است.
این تیم بیش از 81.5 میلیون رکورد داده را در یک پایگاه داده نا امن پیدا کرد. این شامل ایمیل های کارمندان شرکت و همچنین شماره تلفن ها و 76،000 اثر انگشت در حال حاضر ذکر شده است.
علاوه بر اطلاعات اثر انگشت ، مواردی نیز وجود داشته است که داده های بیومتریک ، به عنوان مثال داده های تشخیص چهره ، از یک پایگاه داده در دسترس بوده و در دسترس هستند.
(منبع: SafetyDetectives)
علاوه بر داده های کاربر ، اطلاعات ورود به سیستم از مدیران و چندین آدرس ایمیل و شماره تلفن شرکت را پیدا کنید. اینکه چنین چیزی در یک سرور نا امن ذخیره شود بسیار غیرمعمول و کاملاً سهل انگار است.
عمل غیر معمول و جزئیات بیشتر
محققان امنیتی جزئیات بیشتری را در مقاله خود فاش می کنند. سرور هویت Antheus اجازه می دهد تا کاربران نه تنها وارد سیستم شوند. کاربران جدید همچنین می توانند ثبت نام کنند. عمل اجازه دسترسی به داده های سرور از این روش غیر معمول است.
تیم امنیتی دو فهرست در بانک اطلاعاتی یافت که می تواند به دو شرکت مختلف که از سرور Antheus برای ذخیره اطلاعات شخصی استفاده می کنند ، از جمله داده های اثر انگشت ، مراجعه کند. علاوه بر این ، پروتکل های داده برای اسکن اثر انگشت پیدا شد. آنها را می توان بر اساس شماره های فهرست ذخیره شده در سرور Antheus بازسازی کرد.
محققان امنیتی بر این باورند که نقشه تصویر بیومتریک برای اثر انگشت خاص را می توان از زنجیره های داده موجود در سرور ایجاد کرد (یا مهندسی معکوس
یکی دیگر از آسیب پذیری یافت شده
به موازات نشت داده ها در پایگاه داده داده بیومتریک ، آنتئوس Tecnologia آسیب پذیری دیگری در سیستم خود دارد.این مسئله توسط محققان امنیتی هنگام بررسی آنها مشاهده شده است.این شرکت برای سیستم شناسایی ملی ملکی در برزیل خدمات ارائه می دهد.این امر برای صدور گواهینامه رانندگی استفاده می شود ، اگرچه پورتال دسترسی برای ایجاد کاربران جدید به دلیل ایمن نبودن است محافظت از گذرواژه.
این بار دیگر یک "برنامه کامل" است که به نقض امنیت می رسد – و برای شرکتی که در زمینه داده های دسترسی بیومتریک فعال است. جزئیات را می توانید در این پست وبلاگ مشاهده کنید.
