近年來發生的多起大規模信息洩露事件，使得網絡用戶不得不修改那些不再安全的賬戶密碼。但若安全性更高的指紋數據被曝光，那後果就更加嚴重了。遺憾的是，這正是Suprema Biostar 2指紋鎖身上所發生的事情。據悉，研究人員在Suprema的系統中發現了一個安全漏洞，使之能夠訪問超過100萬人的身份驗證數據。

（圖自：vpnMentor，via BGR）

英國《衛報》指出，這些數據包括了指紋/ 面部識別數據、未加密的用戶名和密碼、甚至員工的個人信息。

鑑於Suprema 生物識別認證系統有許多企業和公共機構大客戶—— 其中包括英國大都會警察局、國防承包商和銀行—— 甚至傷害美國、巴基斯坦、芬蘭、印尼等地的跨國企業。

以色列研究人員Noam Rotem、Ran Locar 與vpnmentor 一起尋找到了Suprema 的安全漏洞，並且獲得了Biostar 2 數據庫的訪問權限。

最令人震驚的是，在獲得訪問權限後，安全研究人員發現該數據庫缺乏應有的保護，且大多數據處於未加密的存儲狀態，很容易訪問到總量超過2780 萬條（23GB+）的記錄。

除了敏感信息，安全研究人員還能夠輕鬆監控存儲的生物識別數據的實際使用情況。比如實時查看哪個用戶通過特定的安全門進入任何設施，甚至查看到管理員賬戶的密碼。

此外，研究人員能夠編輯某人的帳戶，在其中加入自己的指紋。因此從理論上來講，攻擊者可以突破所有需要授權進入的地方。

更令人不安的是，研究人員發現密碼數據根本沒有受到任何保護，使得黑客能夠輕易複製指紋數據、並將之用於惡意目的。其在一篇論文中寫到：

Suprema 未採用無法進行逆向工程的散列式指紋數據存儲，而是偷工減料得讓攻擊者能夠輕易複製實際的指紋數據、並將之用於惡意的目的。

即便如此，Suprema 營銷主管Andy Ahn 還是在接受《衛報》採訪時稱：此事並沒有什麼可擔心的。

我司已對vpnmentor 的報告進行了’深入評估’，若威脅確實存在，Suprema 會立即採取行動並發布適當的公告，以保護我司客戶寶貴的業務和資產。

然而目前尚不清楚是否有其他人在安全研究人員之前發現了同樣的問題，並對這批數據展開了濫用。