Rò rỉ dữ liệu nhận diện khuôn mặt và vân tay ở quy mô lớn

16/08/2019 - 08:53

Các nhà nghiên cứu cho biết, một khối lượng dữ liệu lớn trên hệ thống sinh trắc học Biostar 2 đã bị rò rỉ, ảnh hưởng đến hàng ngàn khách hàng trong đó có Cảnh sát Hoàng gia London (Anh) cùng nhiều tổ chức lớn khác.

A A

Dấu vân tay và nhận diện khuôn mặt của hơn một triệu người dùng đã bị rò rỉ Sky News

Theo Sky News, có khoảng hơn một triệu dấu vân tay cùng tên người dùng và mật khẩu truy cập đã bị rò rỉ thông qua cơ sở dữ liệu không bảo mật lưu trữ trên một hệ thống chuyên dụng, trong số các khách hàng của họ có cả Cục Cảnh sát Hoàng gia London.

Các nhà nghiên cứu tuyên bố, họ phát hiện ra các thông tin này của hệ thống Biostar 2 lưu trữ trên nền tảng bảo mật của một công ty có tên là Suprema (Hàn Quốc) lại rất dễ bị truy cập công khai qua giao thức web. Công ty này được mô tả là “một hãng dẫn đầu thế giới về các giải pháp bảo mật và sinh trắc học”, họ cũng đã chào bán và cung cấp các dịch vụ của mình cho hàng ngàn tổ chức trên khắp thế giới, trong đó có cả các doanh nghiệp, ngân hàng lớn và cả sở cảnh sát London.

Biostar 2 là một hệ thống bảo mật cho phép sử dụng các công nghệ sinh trắc học để cấp quyền cho người dùng truy cập vào các tòa nhà và các khu vực hạn chế trong các công ty và tổ chức cần độ bảo mật nhất định. Nó chịu trách nhiệm lưu trữ một lượng lớn dữ liệu nhận diện sinh trắc học, bao gồm dấu vân tay và khuôn mặt, kết hợp với tên người dùng và mật khẩu liên kết với chúng.

Sở cảnh sát New Scotland Yard là một trong số các khách hàng bị rò rỉ dữ liệu Ảnh: Sky News

Các nhà nghiên cứu bảo mật internet là Noam Rotem và Ran Locar trực thuộc vpnMentor cho biết, họ đã phát hiện hệ thống Biostar 2 bị xâm phạm vào ngày 5.8 và lỗ hổng này không hề được vá trong suốt những ngày qua. vnpMentor tuyên bố: "Đây là một rò rỉ dữ liệu quy mô lớn, gây nguy hiểm cho cả các doanh nghiệp và tổ chức có liên quan cũng như các nhân viên của họ. Nhóm nghiên cứu của chúng tôi đã tiếp cận tới hơn một triệu hồ sơ dấu vân tay và thông tin nhận diện khuôn mặt, kết hợp với các chi tiết cá nhân như tên người dùng và mật khẩu, qua đó có nhiều khả năng bị lạm dụng vào các mục đích tội phạm và lừa đảo”.

Ngoài ra, vnpMentor cho biết phía Suprema đã tỏ ra "rất bất hợp tác" kể từ khi nhận được cảnh báo của họ về việc hơn 27,8 triệu hồ sơ với tổng dung lượng khoảng 23 GB dữ liệu không bảo mật và dễ dàng bị rò rỉ, trong đó có cả các thông tin nhạy cảm khác như thời gian ra vào, địa chỉ nhà và email. Nhưng các nhà nghiên cứu cho rằng, các dữ liệu bảo mật sinh trắc học mới là mối quan ngại lớn nhất vì một khi bị đánh cắp, chúng không thể thay đổi và nạn nhân sẽ mãi bị mất khả năng bảo mật sinh trắc học.

Các chuyên gia bảo mật uy tín đã mô tả quy mô của vụ rò rỉ là rất đáng lo ngại. Theo chuyên gia bảo mật Piers Wilson thuộc công ty an ninh mạng Huntsman Security, "thật ngạc nhiên khi họ mắc phải những lỗi cơ bản như vậy, bao gồm việc không mã hóa dữ liệu bảo mật sinh trắc học”. Cùng quan điểm, John Sheehy, Giám đốc dịch vụ bảo mật chiến lược tại công ty nghiên cứu IOActive cho rằng, “bản thân các tổ chức càng có độ bảo mật cao thì các chuỗi cung ứng của họ càng hấp dẫn đối tượng tấn công”.

Theo Thanh Niên