密碼暴露已經足夠糟糕了。但是指紋和面部識別數據呢？太可怕了。

據《衛報》報道，Suprema的Biostar 2生物特征安全系統受到了審查。此前，Vpnentor和兩名研究人員 — Noam Rotem and Ran Locar — 發現了一個重大缺陷，暴露了100多萬人的生物特征數據。

Biostar2是一個安全平臺，利用面部識別和指紋控制進入建筑物和其他安全設施。更糟的是，Biostar2最近被整合到了NEDAP的AEOS安全平臺中，該平臺被80多個國家的數千家公司和組織用于安全設備。

研究人員說，不僅數據庫未加密，而且通過調整搜索和分析引擎ElasticSearch中的URL搜索標準來訪問數據庫，這其中包含了大量的數據。

據《衛報》報道，研究人員“可以訪問超過2780萬條記錄和23GB的數據，包括管理面板、儀表盤、指紋數據、面部識別數據、用戶的面部照片、未加密的用戶名和密碼、設備訪問日志、安全級別以及員工的個人信息。” 除敏感信息外，安全研究人員還可以輕松監控存儲的生物識別數據的實際使用情況。例如，要實時查看哪個用戶通過特定安全門進入任何設施，甚至查看管理員帳戶的密碼。此外，研究人員可以編輯某人的帳戶并添加他們自己的指紋。因此從理論上講，攻擊者可以突破所有需要被授權進入的地方。

據vpnMentor稱，暴露的數據于2019年8月5日被發現。兩天后，他們將這一問題通知了Biostar2，到8月13日，數據庫已變為私有。不知道這些信息被訪問了多長時間，也不知道是否有人，特別是壞人，能夠訪問數據庫。