生物科技公司Suprema泄漏超过100万人的面部和指纹信息

一个暴露公网的数据库泄露了上百万人的指纹和面部识别信息，再次将“生物识别”推向风口浪尖。

研究人员发现，属于生物科技公司Suprema的一个数据库暴露在公网上，其中包含100多万人的生物识别数据，涉及英国大都会警察局、当地小型企业和各大政府机构收集的面部和指纹识别信息。

Suprema曾大力推销一款名为BioStar 2的生物识别软件，识别方式主要为面部识别和指纹识别，可帮助公司组织管理人员对特殊设施的访问。现BioStar 2已被近6000个组织采用，包括跨国公司、政府、银行和英国大都会警察局。

研究人员表示，在8月初，他们在公网发现了一个可直接访问的ElasticSearch，其中包含“高度敏感”的23GB的生物识别数据（涉及100多万人），都是由BioStar 2从客户处收集而来。

vpnMentor的研究人员在周三的一份报告中表示：“这是一起巨大的信息泄露事件，不仅危及相关企业和组织，更威胁到他们员工的人身安全。我们团队能够直接访问超过100万条指纹记录以及面部识别信息，再配合上个人信息、用户名和密码，易滋生大量犯罪活动。”

除了指纹和面部识别记录(包括用户的图像)外，其中还有未加密的用户名和密码等一系列员工个人数据。这些数据共有2780万条，涉及员工的家庭住址、电子邮件、员工记录和安全级别等等。

研究人员警告说，如果攻击者能够得到这些敏感信息，他们就可非法访问使用了BioStar 2的用户帐户和设施。

此外，Webroot的高级威胁研究分析师Kelvin Murray在一封电子邮件中表示，从这起安全事件可以发现，这些人体生物特征以明文形式存储，未经过哈希处理，这可以说是完全不可接受的。

他认为：“生物识别技术中的生物信息的保护力度应该高于对传统的身份凭证的保护，因为它们永远是你的一部分，你也不能重置指纹或人脸。一旦指纹和面部等生物信息泄露或被盗，对于受害者来说，就永远存在被冒充的风险。这也是生物识别技术作为一种身份识别手段的最大弱点。”

此次泄露出去的数据主要是BioStar 2从6000多个公司组织中收集的，其中还包括几家总部设在美国公司，如Union Member House，Lits Link，Phoenix Medical等。

尚不清楚这些数据是否被除vpnMentor以外的第三方非法获取。在被发现8天后，这个ElasticSearch得到了妥善处理。

生物识别技术的困境

这起事件加剧了人们对生物识别技术安全性的担忧。

像面部识别和指纹识别这样的技术已被全球各类执法部门积极使用，白宫也是如此。且在今年4月，欧盟还批准了建立一个庞大的生物识别数据库，融合了执法部门、边境巡逻部门中的欧盟和非欧盟公民的数据。

尽管人脸识别优势明显——更高效、更快速的身份识别——但同时，由于现实世界中和生物识别相关的应用爆炸式增长，让安全专家们对隐藏在其中的某些根深蒂固的隐私安全问题感到担忧。

Checkmarx应用安全策略全球总监Matt Rose在一封电子邮件中表示：“在我看来，这起事件比最近任何一起大规模数据泄露都要糟糕，因为它甚至可能滋生恐怖主义活动。这起事件也让人们意识到，有些企业对用户数据毫不关心。如何尽力保护用户数据，也许是未来评价好企业的标准之一。”

这也不是最近发生的第一起生物识别安全事件。今年6月，美国海关和边境保护局表示，有10万多名进出美国的旅行者的面部和车牌照片被泄露。

vpnMentor的研究人员也表示说，生物识别的最大风险之一就是“人脸和指纹信息无法改变”。

一旦被盗，就无法挽回了。BioStar 2虽然是由一家安全公司制造的，但存储这些信息的方式居然如此不安全。

信息泄露

研究人员于8月5日首次发现了这个可随意访问的ElasticSearch，并于8月7日联系了管理者。虽然该ElasticSearch最终在8月13日被关闭，但研究人员表示，整个沟通过程非常混乱，Suprema基本上是毫不配合。

“我们的团队多次尝试通过电子邮件与该公司联系，但均无回信。最终，我们决定通过电话联系BioStar 2软件标明的办公室，但也基本上没有反应。”

直到本文发布时，Suprema没有回应来自Threatpost的评论请求。