Tìm thấy cơ sở dữ liệu dùng để bảo vệ các tòa nhà trên khắp thế giới ở trạng thái ai cũng đọc được

14:36 | 20/08/2019

Đây là tin dịch, do vậy nếu đề nghị ctv tham khảo thì phải ghi rõ tham khảo để làm gì? để viết bài khác hay viết lại, viết thêm vào tin này. Nếu như vậy thì lại thành dạng bài khác. Do vậy, đề nghị đ.c Ngoan tiếp tục biên tập để xb.Chưa biên tập=> vậy phần dưới đây là biên tập rồi à

Các nhà nghiên cứu cho biết họ đã tìm thấy một cơ sở dữ liệu có thể truy cập công khai chứa gần 28 triệu hồ sơ, bao gồm cả mật khẩu ở dạng trần, ảnh chân dung và thông tin cá nhân được sử dụng để bảo mật các tòa nhà trên khắp thế giới.

Các nhà nghiên cứu từ vpnMentor đã báo cáo rằng cơ sở dữ liệu đó được sử dụng bởi hệ thống bảo mật Biostar 2 dựa trên web mà công ty Suprema có trụ sở tại Hàn Quốc đang bán (công ty Suprema bán cơ sở dữ liệu hay là bán hệ thống bảo mật Biostar). Biostar sử dụng nhận dạng khuôn mặt và quét dấu vân tay để xác định những người được cấp quyền vào các nhà kho, tòa nhà, doanh nghiệp và ngân hàng. vpnMentor cho biết hệ thống này có hơn 1,5 triệu lượt cài đặt ở nhiều quốc gia bao gồm Mỹ, Anh, Indonesia, Ấn Độ và Sri Lanka.

Theo vpnMentor, cơ sở dữ liệu 23 gigabyte chứa hơn 27,8 triệu hồ sơ được Biostar sử dụng để bảo vệ các cơ sở của khách hàng. Dữ liệu bao gồm tên người dùng, mật khẩu và ID người dùng ở dạng rõ, nhật ký truy cập các tòa nhà, hồ sơ nhân viên bao gồm ngày bắt đầu làm việc, thông tin chi tiết của cá nhân, dữ liệu thiết bị di động và hình ảnh khuôn mặt.

Mật khẩu đơn giản một cách kỳ cục

Một trong những khía cạnh đáng ngạc nhiên hơn của vụ rò rỉ này là mật khẩu của tài khoản mà chúng tôi thấy được quá đơn giản, các nhà nghiên cứu bảo mật Internet của vpnMentor Noam Rotem và Ran Locar đã viết. Rất nhiều tài khoản có mật khẩu đơn giản, như ‘Password’ và‘ abcd1234’. Thật khó để tưởng tượng rằng mọi người vẫn không nhận ra điều này giúp tin tặc truy cập vào tài khoản của họ dễ dàng như thế nào.

Các nhà nghiên cứu cho biết dữ liệu cũng bao gồm hơn 1 triệu hồ sơ có chứa vân tay thực. Báo cáo do họ cung cấp cung cấp không có dữ liệu để xác nhận điều đó và các nhà nghiên cứu của vpnMentor đã không trả lời yêu cầu gửi các ví dụ về hồ sơ.

Đa số các chuyên gia bảo mật đồng ý rằng cách tốt nhất để lưu trữ hoặc truyền dữ liệu sinh trắc học là bằng cách băm nó trước để ngăn các bên thứ ba có được nó trong dữ liệu bị lộ ra ngoài. Nếu đúng là cơ sở dữ liệu bao gồm hơn 1 triệu dấu vân tay thực tế, đó sẽ là một vi phạm nghiêm trọng vì nó sẽ làm lộ những người có liên quan, và các công ty mà những người đó đang làm việc, thông tin lộ ra có thể bị lợi dụng để lừa đảo. Không giống như mật khẩu, dấu vân tay không thể thay đổi.

Một số tổ chức có thông tin được công khai bao gồm:

    Hoa Kỳ

        Union Member House – Không gian làm việc chung và câu lạc bộ xã hội với 7.000 người dùng.

        Lits Link – Công ty tư vấn phát triển phần mềm.

        Phoenix Medical – Công ty sản xuất sản phẩm y tế.

    Indonesia

        Uptown – Không gian làm việc chung ở Jakarta với 123 người dùng.

    India và Sri Lanka

        Power World Gyms – Chuỗi nhượng quyền phòng tập cao cấp với chi nhánh ở cả hai nước. Có thể truy cập 113.796 hồ sơ người dùng và dấu vân tay.

    Vương quốc Anh

        Associated Polymer Resources – Chuyên gia tái chế nhựa.

        Tile Mountain – Nhà cung cấp sản phẩm trang trí nhà cửa và DIY (tự làm lấy).

        Farla Medical – Nhà thuốc.

    UAE

        Global Village – Một lễ hội văn hóa hàng năm, với 15.000 dấu vân tay.

        IFFCO – Consumer food products group.

    Phần Lan

        Euro Park – Nhà phát triển bãi đỗ xe với các trang web trên khắp Phần Lan.

    Thổ Nhĩ Kỳ

        Ostim – Công ty phát triển khu công nghiệp.

    Nhật Bản

        Inspired.Lab – Không gian làm việc chung và thiết kế không gian tại Chiyoda, Tokyo.

    Bỉ

        Adecco Staffing – đã tìm thấy khoảng 2.000 dấu vân tay được kết nối với công ty chuyên cung cấp nhân sự.

    Đức

        Identbase – Dữ liệu thuộc về nhà cung cấp thẻ ra vào và công nghệ in thẻ truy cập này cũng được tìm thấy trong cơ sở dữ liệu bị lộ.

Báo cáo cho biết các nhà nghiên cứu đã tìm thấy cơ sở dữ liệu thông qua một dự án lập bản đồ Internet bằng việc quét các cổng của các khối IP quen thuộc để tìm lỗ hổng.

"Nhóm nghiên cứu đã phát hiện ra rằng nhiều phần của cơ sở dữ liệu Biostar 2 không được bảo vệ và hầu hết không được mã hóa", các nhà nghiên cứu viết. "Công ty sử dụng cơ sở dữ liệu Elaticsearch, thông thường không được thiết kế để truy cập qua URL. Tuy nhiên, chúng tôi có thể truy cập nó thông qua trình duyệt và chỉnh sửa các tiêu chí tìm kiếm để làm lộ ra khá nhiều dữ liệu”. Các nhà nghiên cứu của vpnMentor cho biết, ngoài việc lưu trữ trong một cơ sở dữ liệu mà “cả thế giới đọc được”, Suprema còn cho phép thêm, xóa hoặc sửa đổi các hồ sơ. Điều đó bỏ ngỏ khả năng các hồ sơ đã được thêm vào để cho phép những người không có thẩm quyền đi vào những các địa điểm quan trọng. Nó cũng mở ra cơ hội cho các hành vi trộm cắp danh tính, tấn công lừa đảo, tống tiền. Các nhà nghiên cứu của vpnMentor cho biết họ đã phát hiện ra cơ sở dữ liệu bị lộ vào ngày 5 tháng 8 và báo cáo riêng về việc này hai ngày sau đó. Dữ liệu không được bảo mật cho đến sáu ngày sau.

https://arstechnica.com/information-technology/2019/08/found-world-readable-database-used-to-secure-buildings-around-the-globe/