เรียกได้ว่าเป็นการทำข้อมูลหลุดครั้งที่ใหญ่ที่สุดในรอบปีเลยก็ว่าได้ เมื่อนักวิจัยจากบริษัท vpnmentor ในอิสราเอล ตรวจพบว่าบริการ Biostar 2 ของบริษัท Suprema ที่ให้บริการควบคุมการเข้าอาคารและระบบลงเวลา ทำข้อมูลผู้ใช้หลุด สามารถเข้าถึงข้อมูลได้จากอินเทอร์เน็ต
นักวิจัยได้เปิดเผยว่า พบรายการข้อมูลที่รั่วไหลถึง 27.8 ล้านรายการ และข้อมูลเกือบทั้งหมดไม่มีการเข้ารหัสหรือแฮชเอาไว้เลย ส่งผลให้ผู้ที่เข้าถึงข้อมูลดังกล่าว จะสามารถเข้าถึงภาพลายนิ้วมือ, ภาพใบหน้า, ชื่อผู้ใช้, รหัสผ่านที่ไม่ได้เข้ารหัส, ระดับสิทธิ์การเข้าอาคาร, ข้อมูลส่วนตัว, และประวัติการใช้งานได้
พวกเขาสามารถแก้ไขบัญชีผู้ใช้งานและเพิ่มลายนิ้วมือของตัวเอง หรือจะเพิ่มตัวเองเป็นบัญชีใหม่ที่มีรูปถ่ายและลายนิ้วมือ จากนั้นก็สามารถรับอนุญาตเข้าออกสถานที่ต่างๆ ได้ ซึ่งการตรวจสอบนี้ใช้วิธีค้นหาฐานข้อมูลด้วย URL โดยใช้เครื่องมือ Elasticsearch เสิร์ชเอนจินโอเพนซอร์สที่สามารถโหลดมาใช้งานได้ฟรี ดังนั้นใครๆ ก็สามารถโหลดมาใช้และเข้าถึงได้
ทั้งนี้ นักวิจัยได้แจ้งเรื่องไปยังบริษัท Suprema แล้ว โดยบริการ Biostar 2 ของบริษัท Suprema นั้นได้มีการติดตั้งไปถึง 1.5 ล้านจุด ตามอาคารสำนักงาน, ธนาคาร, ตำรวจนครบาลของอังกฤษ, co-working space และฟิตเนส กว่า 6 พันองค์กรทั่วโลก ซึ่งตอนนี้ช่องโหว่ดังกล่าวก็ถูกปิดไปแล้วอย่างรวดเร็ว
อย่างไรก็ตาม ถึงแม้ว่าช่องโหว่จะถูกปิดไปแล้ว แต่ข้อมูล biometrics อย่างลายนิ้วมือ หรือใบหน้านั้น นับว่าเป็นกรณีข้อมูลหลุดที่เสียหายมากกว่ากรณีรหัสผ่านหลุดเยอะ เพราะรหัสผ่านนั้นสามารถเปลี่ยนแปลงได้ แต่ลายนิ้วมือ หรือใบหน้าคนเรานั้นเปลี่ยนแปลงไม่ได้ และยิ่งในปัจจุบันนี้ ข้อมูลลายนิ้วมือและการจดจำใบหน้าถูกนำไปใช้ประโยชน์ในการยืนยันตัวตนอย่างแพร่หลาย หากข้อมูลเหล่านี้รั่วไหลออกไป อาจจะมีผู้ไม่หวังดีที่จะนำข้อมูลไปใช้เข้าถึงบัญชีของบริการและอุปกรณ์ต่างๆ ของเรา โดยที่ผู้เสียหายไม่สามารถเปลี่ยนแปลงแก้ไขใดๆ ได้เลย
Credit : theguardian
Facebook Comments