概述

生物识别数据和传统的用户名密码不一样，密码丢失可以修改，使用新的密码，而生物数据例如指纹或者人脸，一旦丢失，无法更换。以下收集了最近比较严重的生物识别数据丢失事件，以飨读者。

BioStar 2

VpnMentor 的团队最近在安全平台 BioStar 2 中发现了一个巨大的数据泄露事件。

BioStar 2 是一个基于 Web 的生物识别安全智能锁定平台。它是一个中心化应用程序，允许管理员控制对安全设施区域的访问，管理用户权限，与第三方安全应用程序集成以及记录活动日志。

作为生物识别软件的一部分，BioStar 2 使用面部识别和指纹识别技术来识别用户。

该应用程序由世界 50 大安全制造商之一 Suprema 构建，在 EMEA 地区的生物识别访问控制市场份额最高。Suprema 最近与 Nedap 合作，将 BioStar 2 整合到他们的 AEOS 门禁系统中。

AEOS 被 83 个国家的超过 5,700 个组织使用，包括一些最大的跨国企业，许多小型本地企业，政府，银行，大到英国大都会警察局。

本次事件中泄漏的数据具有高度敏感性。它包括员工详细的个人信息和未加密的用户名和密码，使黑客能够访问使用 BioStar 2 的设施的用户帐户和权限。通过恶意代理可以利用此功能入侵安全设施并操纵其安全协议进行犯罪活动。

这是一个巨大的泄密事件，危及所涉及的企业和组织，以及他们的员工。该团队能够访问超过 100 万条指纹记录以及面部识别信息。结合个人详细信息，用户名和密码，犯罪活动和欺诈的可能性很大。

一旦指纹和面部识别信息被盗，将导致个人生物特征数据无法使用，可能会影响一个人一辈子的吃穿住行。

发现的时间线和所有者反应

在该团队发现 BioStar 2 数据库中的漏洞后，联系了该公司，提醒他们重视该调查结果。

然而，发现 BioStar 2 在整个过程中通常非常不合作。该团队多次尝试通过电子邮件与公司联系，但无济于事。最终，决定通过电话联系 BioStar 2 的办公室。同样，该公司基本上没有反应。

在与他们的德国队成员交谈后，收到了一个回复，“我们不跟 vpnMentor 说话”。这表明他们了解这个事件，以及试图解决这个问题。

团队还试图联系 BioStar 2 的 GDPR 合规官，但没有得到回复。

最终，在通过电话与愿意合作的法国分支机构交谈后，该公司采取措施停止违规行为。

发现日期： 年 8 月 5 日

日期供应商联系： 年 8 月 7 日

行动日期：8 月 13 日，违规行为已经结束

他们的团队能够访问超过 2780 万条记录，总共 23 千兆字节的数据，其中包括以下信息：

访问客户端管理面板，仪表板，后端控件和权限

指纹数据

面部识别信息和用户图像

未加密的用户名，密码和用户 ID

进入和退出安全区域的记录

员工记录包括开始日期

员工安全级别和许可

个人详细信息，包括员工家庭住址和电子邮件

企业的员工结构和层次结构

移动设备和操作系统信息

这次泄漏的一个更令人惊讶的方面是，访问的帐户密码是如此不安全。很多账户都有简单易懂的密码，比如“password”和“abcd1234”。很难想象人们仍然没有意识到这会让黑客访问他们的帐户变得多么容易。

面部识别和指纹信息无法更改。一旦它们被盗，它就无法撤销。

BioStar 2 存储此信息的无担保方式令人担忧，考虑到其重要性，以及 BioStar 2 由安全公司建造的事实。

它们不是保存指纹的散列（不能进行逆向工程），而是保存了人们可以为恶意目的复制的实际指纹。

将泄漏中发现的所有数据放在一起，各种犯罪分子都可以将这些信息用于各种非法和危险的活动。

账户收购和安全漏洞

有了这个漏洞，犯罪黑客可以完全访问 BioStar 2 上的管理员帐户。他们可以使用它来接管具有完整用户权限和安全许可的高级帐户，并更改整个网络中的安全设置。

他们不仅可以更改用户权限并将人员锁定在某些区域之外，还可以创建新的用户帐户（包括面部识别和指纹），以便自己访问建筑物或设施内的安全区域。

此外，黑客可以将现有帐户的指纹更改为自己的指纹，并劫持用户帐户以访问未被检测到的受限区域。黑客和其他犯罪分子可能会创建指纹库，以便在他们想要进入某个地方时使用而不被发现。

这使得黑客及其团队可以开放访问受 BioStar 2 保护的所有受限区域。他们还可以访问活动日志，因此他们可以删除或更改数据以隐藏其活动。

结果，被黑客入侵的建筑物的整个安全基础设施变得毫无用处。拥有这些数据的任何人都可以自由移动到他们选择的任何地方，未被发现。

路透社 -美国政府表示黑客窃取了数百万 国防部和其他美国政府雇员的安全数据， 大约560万个指纹记录，比最初预估的记录多450万个。

WASHINGTON (Reuters) - Hackers who stole security clearance data on millions of Defense Department and other U.S. government employees got away with about 5.6 million fingerprint records, some 4.5 million more than initially reported, the government said on Wednesday.

Q1数据泄露事件TOP5

（1）黑客在暗网出售8.7亿条个人信息

今年2-3月份，Gnosticplayers在暗网分四轮出售从38个热门网站窃取的8.7亿条用户信息。第一轮出售了来自16个网站的6.2亿用户信息，第二轮出售了来自8个网站的1.27亿数据，第三轮出售了来自8个网站的9200万用户信息。第四轮出售2700万用户信息，共来自6个网站数据库。

（2）网络软件公司思杰大量敏感数据遭窃取

3月8日，网络软件公司思杰（Citrix Systems）对外表示，该公司发生数据泄露事故，黑客通过侵入多个员工账号获得内网权限，窃取了6-10TB的敏感数据，包括电子邮件、网络共享文件，以及项目管理和采购相关文档等。FBI表示黑客可能使用了一种名为“密码喷雾”（Password Spraying）的密码破解技术。

（3）MEGA上出现7.73亿份邮箱地址和2200万个密码

1月16日，安全研究专家特洛伊·亨特(Troy Hunt)在博客中称，在云存储服务平台MEGA上，被黑客公开了窃取的7.73亿个电子邮件地址和近2200万个密码。这些文件一共超过1.2万份，数据超过87GB。

（4）Facebook被爆内部2万员工可随意访问数亿用户密码

3月21日，外媒报道，约有2亿至6亿Facebook用户的密码以纯文本方式储存。这些包含纯文本用户密码的数据元素被数千名Facebook 工程师或开发人员访问了约 900 万次，而且这些数据还能被2万多名Facebook员工搜索到。

（5）IT安全和云数据巨头Rubrik数据库泄露

1月29日，因服务器出现安全漏洞，IT安全和云数据管理巨头Rubrik的数据库遭到泄露，该数据库存储了数十GB的数据，包括每个客户的姓名和联系方式等。

SenseNets深网视界

，SenseNets（深网视界）发生的数据泄露事件集中体现了存储端的薄弱。2月，荷兰著名安全研究员 Victor Gevers发现，中国安防视觉领域的一家企业SenseNets未进行安全保护，导致其数据库在公网“裸奔”，任何人都可以访问数据。该数据库有超过250万名用户的信息，除了用户名，还有非常详细且敏感的信息，比如身份证号码、身份证签发日期、性别、家庭住址、出生日期、照片、工作单位以及过去24小时的到访记录等。

泄露的身份证号码，已经照片就意味着人脸识别相关的应用会面临极大风险。通过“照片活化”工具可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。匹配了身份信息的照片，经过“照片活化”后，能实名注册市面上大多数软件，加上验证码破解方式，不法分子在办理网贷、精准诈骗等方面几乎毫无障碍。

如果觉得《生物特征识别数据泄露事件》对你有帮助，请点赞、收藏，并留下你的观点哦！