นักวิจัยพบฐานข้อมูลลายนิ้วมือและใบหน้ารั่วไหล คาดกระทบผู้ใช้หลายล้านราย

Noam Rotem และ Ran Locar นักวิจัยจาก vpnMentor ได้ออกมาเปิดเผยถึงการค้นพบฐานข้อมูลลายนิ้วมือและใบหน้าของแพลตฟอร์ม BioStar 2 ที่มีการตั้งค่า Elasticsearch Database เอาไว้ไม่ดีทำให้สามารถเข้าถึงข้อมูลขนาดกว่า 23 กิกะไบต์ได้
BioStar 2 เป็นแพลตฟอร์มแบบ Web-based สำหรับโซลูชัน Smart lock เช่น ระบบเข้าถึงสถานที่ที่ต้องแสกนลายนิ้วมือหรือใบหน้า เป็นต้น ทั้งนี้เจ้าของคือบริษัท Suprema จากเกาหลีใต้นั่นเอง 
ประเด็นคือ 2 นักวิจัยของ vpnMentor ได้ค้นพบการตั้งค่าผิดพลาดที่ Elasticsearch Database ทำให้สามารถเข้าถึงฐานข้อมูลของแพลตฟอร์มได้ผ่านบราวน์เซอร์และยังทำการปรับแต่ง URL ให้เข้าถึงข้อมูลต่างๆ ได้ด้วย โดยข้อมูลที่พบในฐานข้อมูลประกอบด้วย Dashboard ของลูกค้า, Username/Password ที่ไม่ได้เข้ารหัส, บันทึกการเข้าออก, ที่อยู่, อีเมล, ระดับชั้นของการรักษาความปลอดภัย และข้อมูลอุปกรณ์มือถือและ OS เป็นต้น นอกจากนี้นักวิจัยยังชี้ลูกค้าหลายรายยังใช้รหัสผ่านอ่อนแอมาก เช่น abcd1234, Password หรืออื่นๆ สามารถดูวีดีโอจากนักวิจัยได้ตามด้านล่าง
ความน่ากังวลคือหากแฮ็กเกอร์เข้าถึงฐานข้อมูลนี้ได้จะมีรหัสผ่านระดับผู้ดูแลซึ่งนำไปสู่การเข้าถึงองค์กรได้อย่างสมบูรณ์แบบ เช่น สร้างบัญชีใหม่ มีสิทธิ์กระทำการสั่งเปิด/ปิด ทางเข้าออกต่างๆ เป็นต้น แถมลายนิ้วมือกับหน้าคนไม่ได้เป็นสิ่งที่จะแก้ไขได้บ่อยๆ ด้วย
นอกจากนี้ Suprema ยังถือเป็นผู้ให้บริการโซลูชันรายใหญ่และมีฐานลูกค้าจำนวนมากด้วย อย่างไรก็ตามเมื่อนักวิจัยได้แจ้งช่องโหว่ไปหาเจ้าหน้าที่ของบริษัทก็ไม่ค่อยได้เสียงตอบรับที่ดีนักแต่ก็ยังมีการแก้ไขแล้วเมื่อวันที่ 13 สิงหาคมที่ผ่านมา โดยหัวหน้าฝ่ายการตลาดของบริษัทยังมาบอกว่า “หากพบภัยใดที่กระทบต่อบริการหรือผลิตภัณฑ์ของเรา เราจะประกาศแจ้งลูกค้าทันทีอย่างเหมาะสม
ผู้สนใจสามารถติดตามเรื่องราวโดยละเอียดได้จากบล้อกของ vpnMentor

Comments

Popular posts from this blog

นักวิจัยปล่อยโค้ดที่ทำให้เกิดจอฟ้ากับเครื่อง Windows จำนวนมากบน GitHub

ผู้เชี่ยวชาญพบมัลแวร์ใช้ Windows BITS เพื่อติดต่อเซิร์ฟเวอร์ควบคุม

รู้สาเหตุแล้ว ประเทศในแถบเอเชียตะวันออกเฉียงใต้เน็ตช้าเพราะสายเคเบิลใต้ทะเลขาด