Usikret database afslører 76, 000 fingeraftryk

Et sikkerhedsfirma, der håndterer medarbejders fingeraftryksidentifikation for virksomheder verden over, har afsløret mere end 2 millioner bits af data, inklusive 76, 000 fingeraftryk, ifølge en forskningsgruppe om cybertrusler.

Antheus Teknologia, et brasiliansk firma, der udvikler og administrerer automatiserede fingeraftryksidentifikationssystemer, efterlod 16 gigabyte meget følsom information relateret til klientidentifikation og biometriske detaljer usikrede på deres servere. Bruddet blev opdaget af forskere på SafetyDetectives.com, som har specialiseret sig i at analysere antivirussoftware. Forskere siger, at bruddet er blevet sikret.

Truslen om tyveri af biometriske data er mere alvorlig end den gennemsnitlige adgangskodebrud eller malwareinfektion. Når et brud er opdaget, en bruger kan ændre en adgangskode eller anvende en softwarepatch for at eliminere truslen. Men fingeraftryksdata er anderledes:Fingeraftryk er for livet, de kan ikke "opgraderes" eller ændres. Irisscanninger og ansigtsgenkendelsesdata er også i det væsentlige permanente.

Antheus-serveren viste sig at anvende svage foranstaltninger vedrørende systemadgang. Det gemte også faktiske fingeraftryksbilleder og indekslogfiler, der nemt kunne matches og bruges i kriminel aktivitet af ondsindede hackere.

"Den usikrede metode, hvor Antheus Tecnologia gemmer information, er ret alarmerende i betragtning af dens betydning, " sagde forsker Anurag Sen. "Det er endnu mere alarmerende, at Antheus Tecnologia blev bygget og indsat af et sikkerhedsfirma."

"I stedet for at gemme en hash af fingeraftrykket (som ikke kan omvendt konstrueres), Antheus gemmer folks faktiske fingeraftryk gennem rudimentær kodning, som derefter kan replikeres til ondsindede formål, " forklarede Sen.

Sikkerhedsbruddet er bekymrende i betragtning af den øgede afhængighed af biometriske data for adgang til personlige computere, mobiltelefoner og bank- og erhvervsinstitutioner.

Hændelsen minder om cybertyveriet i 2015 af 22 millioner personlige optegnelser og 1 million fingeraftryk brugt af FBI. I en analyse af begivenheden udført af et af identitetstyveriets ofre, Janice Kephart, grundlægger af Secure Identity and Biometrics Association, hun sagde, at alle, der har arbejdet for regeringen siden 2000, "nu ikke kun er genstand for identitetstyveri baseret på vores biografiske oplysninger, men vores fingeraftryk er nu knyttet til de biografiske data" for altid.

Sen bemærkede den type kriminel aktivitet, som bruddet udsætter brugere for at omfatte identitetstyveri, adgang til klassificerede oplysninger, økonomisk tyveri, phishing-angreb, afpresse, afpresning og ransomware.

Han nævnte foranstaltninger, mange af dem er veletablerede, fornuftige løsninger, for at beskytte mod identifikationstyveri. Blandt dem:

- Tjek, at det websted, du er på, er sikkert (se efter https og/eller en lukket lås)

- Giv kun det, du føler dig sikker på, ikke kan bruges mod dig (undgå offentlige id-numre, personlige præferencer, der kan give dig problemer, hvis de offentliggøres, etc.)

- Opret sikre adgangskoder ved at kombinere bogstaver, tal, og symboler - Brug online scanningsværktøjer til at tjekke dine enheder for kendte sårbarheder - Klik ikke på links i e-mails, medmindre du er sikker på, at afsenderen er legitim - Undgå at bruge kreditkortoplysninger og indtaste adgangskoder via usikrede WiFi-netværk

© 2020 Science X Network