TOP > IT・テクノロジー > 100万人以上の生体認証情報が公開状態。企業や組織150万か所で使用の出入管理システムに脆弱性 - Engadget 日本版

100万人以上の生体認証情報が公開状態。企業や組織150万か所で使用の出入管理システムに脆弱性 - Engadget 日本版

36コメント 登録日時:2019-08-15 07:01 | Engadget Japaneseキャッシュ

銀行や英国警視庁、防衛企業など世界150万か所で使われている生体認証システムBiostar 2にセキュリティ上の問題が発見されました。発見したセキュリティ研究者によると、100万人以上の指紋や暗号化されていないパスワード、顔認識情報など個人データが外部からアクセス可能な状態になっていたとのことです。...

ツイッターのコメント(36)

生体情報を作り直すしかない
Reading
指紋認証、顔認証は所詮特徴量でしか比較しないんだから、生のデータを保存する必要ないと思うんだけど
ええっ!ぼくの生体認証情報が流出したおそれがあるだって!?速やかに指紋と顔を変更しに行かなきゃ!≡≡≡ヘ( ^p^)ノ

»
「銀行や英国警視庁、防衛企業など世界150万か所で使われている生体認証システムBiostar 2にセキュリティ上の問題」。ぎゃー(怖)→100万人以上の生体認証情報が公開状態。企業や組織150万か所で使用の出入管理システムに脆弱性(engadget)
ふと考えたんだけど、日本の警察や入管は国民のプライバシーに対して凄まじい力をいつでも行使できそう。
生体情報の方が漏れたんか。漏れた人がセキュリテホールって呼ばれるなんて悲しみ /
ユーザーの顔写真、平文のままの氏名、平文のままのパスワード、指紋情報、顔認識情報、機密アクセス許可レベル、施設へのアクセスログなどが含まれていた
生体認証情報って漏れたら終わってるからなぁ…漏洩リスクがパスワードより遥かに高いだけに扱いもそれだけ重要ですわ…
( ..)φ→「銀行や英国警視庁、防衛企業など世界150万か所で使われている生体認証システムBiostar 2にセキュリティ上の問題が発見されました」【 日本版】
結構マズくないかコレ・・・
クラウドサービスな生体認証システムがザルで全ユーザーの認証情報が見放題だったということらしい。 /
うわあ→
“データの中にはユーザーの顔写真、平文のままの氏名、平文のままのパスワード、指紋情報、顔認識情報、機密アクセス許可レベル、施設へのアクセスログなどが含まれていた”
指紋は(正しくは)画像そのものを保存する訳ではないけれど、「他と同じ指は登録しないでください」とか言い始めたら、色々困るでしょ…。
生体認証だと中身の書き換えが出来ないから、ひとたび流出したら、もうどうしようもない。
こういうのが発覚した場合、導入していた企業側としてはどう対処するのがベストなんだろうか
パスワードが変えられるが生体認証に関するものは個体特有のものだけに変えるわけにいかない。漏洩したらアウトだ。どう責任とるのだろう?
指紋や顔の変更手術が必要になるやつ/
生体認証情報、流出したときに変更が効かないの辛いな… /
指紋データあれば導電性フィラメント使って3Dプリントで悪用できるし、簡単に変更できるものでもないから、指紋認証もうダメやん / (30 users)
生体認証はこういうことがある(変更が不可能であるため、生データが漏れたら取り返しがつかない)からクソだといい続けてきたが、実証されてしまった。 /
@DarkReading 日本語情報も出てますね。
指紋は生体情報の中では変化しにくいからなぁ。
一方、静脈は経年変化すると某M銀行員に教えられた。
またそういう根幹に関わるような... //
ぎょぎょぎょ(ง °Θ°)ว
パスワードと違って指紋や光彩、頭蓋骨は簡単に変更出来るものではないのでやめてくれ。
elasricsearchは人類には早すぎた。こうですか?(ちがう) —-
「100万人以上の指紋や暗号化されていないパスワード、顔認識情報など個人データ」これぞ真のカス中のカス→
SaaSに認証周りを任せた場合のリスク。怖いな /
そもそも指紋とかの生体情報はIDであってパスワードとして使うなの話| -
生体認証システムのDBは本当に慎重に設計して欲しい…パスワードは漏れたら変えれば良いが、指紋が漏れても指は変えられないよ。 /
J-SOXでもセキュリティは評価しますが、パスワード管理や生体認証データそのもののデータの管理は評価しないよね、普通は。。。

評価するのはあくまでも、ネットワークやシステムへのログイン認証機能の有無であり、...
データが漏れた時は認証データを違うロジックで作り直せばいいのかな?全てをアップデートして再登録するのはすごく大変そうだけど
ウケる(ウケない) /
「顔写真、平文のままのパスワード、指紋情報、顔認識情報」が含まれてたと…。//
今頃記事書かれても困る。
まずパスワードが指紋認証で認証されてないのは前からだと思うし毎日認証されなくて気づかないのがおかしい。
以上

記事本文: 100万人以上の生体認証情報が公開状態。企業や組織150万か所で使用の出入管理システムに脆弱性 - Engadget 日本版