รหัสผ่านหลุดกลายเป็นเรื่องเล็ก เมื่อพบช่องโหว่เข้าถึงข้อมูลใบหน้าและลายนิ้วมือกว่าล้านคน!

The guardian รายงานว่า 2 นักวิจัยด้านความปลอดภัยชาวอิสราเอล สามารถเข้าถึงข้อมูลการจดจำใบหน้าและลายนิ้วมือมากกว่า 1 ล้านคนของบริษัท Suprema ผู้ให้บริการระบบความปลอดภัย Biostar 2 โดยข้อมูลที่เข้าถึงได้ไม่ถูกเข้ารหัสด้วยชื่อผู้ใช้งานและรหัสผ่าน และข้อมูลส่วนบุคคลของพนักงานที่เก็บอยู่ในฐานข้อมูลของบริษัทรักษาความปลอดภัยซึ่งอนุญาตให้เข้าถึงได้อย่างถูกต้องโดยตำรวจนครบาลอังกฤษ ธนาคาร และผู้รับเหมารักษาความปลอดภัย

ระบบล็อก Biostar 2 โดยบริษัทรักษาความปลอดภัย Suprema ได้นำลายนิ้วมือและข้อมูลการจดจำใบหน้า มาใช้ในการยืนยันตัวตนเพื่อเข้าสู่ โกดัง อาคาร หรือสำนักงาน ซึ่งจะควบคุมการทำงานผ่านเว็บ ซึ่งเมื่อเดือนที่ผ่านมา Suprema ประกาศว่าแพลตฟอร์ม Biostar 2 ได้ถูกเชื่อมต่อกับระบบควบคุมการเข้าถึงอื่นๆ หนึ่งในนั้นก็คือ AEOS ซึ่ง AEOS ถูกใช้งานโดย 5,700 องค์กรใน 83 ประเทศ รวมถึงรัฐบาล ธนาคาร และตำรวจนครบาลของอังกฤษ

ต่อมาก็มีโป๊ะแตก เมื่อ 2 นักวิจัยด้านความปลอดภัย ชาวอิสราเอล Noam Rotem และ Ran Locar ได้พบว่าสามารถเข้าถึงฐานข้อมูลของ Biostar 2 ซึ่งส่วนใหญ่ไม่มีการป้องกันและไม่มีการเข้ารหัสแต่อย่างใด พวกเขาสามารถเข้าถึงข้อมูลได้มากกว่า 27.8 ล้านเรคอร์ด และความจุข้อมูลถึง 23 กิกะไบต์ ได้แก่ ข้อมูลส่วนผู้ดูแล ลายนิ้วมือ ข้อมูลการจดจำใบหน้า รูปถ่าย ซึ่งไม่ได้เข้ารหัสชื่อผู้ใช้และรหัสผ่าน บันทึกการเข้าออกสิ่งอำนวยความสะดวก ระดับความปลอดภัย และรายละเอียดของพนักงาน

นักวิจัยเปิดเผยว่า พวกเขาสามารถแก้ไขบัญชีผู้ใช้งานและเพิ่มลายนิ้วมือของตัวเองหรือจะเพิ่มตัวเองเป็นบัญชีใหม่ที่มีรูปถ่ายและลายนิ้วมือ จากนั้นก็สามารถรับอนุญาตเข้าออกสถานที่ต่างๆ ได้ ซึ่งการตรวจสอบนี้ใช้วิธีค้นหาฐานข้อมูลด้วย URL โดยใช้เครื่องมือ Elasticsearch เสิร์ชเอนจินโอเพนซอร์สที่สามารถโหลดมาใช้งานได้ฟรี ดังนั้นใครๆ ก็สามารถโหลดมาใช้และเข้าถึงได้

ข้อมูลใบหน้าและลายนิ้วมือหลุดนั้นน่ากลัวกว่ารหัสผ่านหลุด เพราะผู้ใช้ไม่สามารถเปลี่ยนใบหน้าและลายนิ้วมือตัวเองได้เหมือนรหัสผ่าน

ต่อมา Andy Ahn หัวหน้าฝ่ายการตลาดของ Suprema ได้รับทราบและประเมินปัญหาที่เกิดขึ้นแล้ว พร้อมกับยืนยันว่า บริษัทจะแจ้งให้ลูกค้าทราบทันทีเมื่อมีภัยคุกคามที่ชัดเจนเกี่ยวกับผลิตภัณฑ์ เพื่อปกป้องธุรกิจและทรัพย์สินที่มีค่าของลูกค้า

ปัจจุบันข้อมูลลายนิ้วมือและการจดจำใบหน้า ถูกนำไปใช้ประโยชน์ในการยืนยันตัวตนอย่างแพร่หลาย หากข้อมูลเหล่านี้รั่วไหลออกไป ผู้ไม่หวังดีก็จะสามารถนำไปใช้เข้าถึงบัญชีของบริการ และอุปกรณ์ต่างๆ ของเราได้ ดังนั้น บริษัทหรือผู้ให้บริการที่ดูแลข้อมูลเหล่านี้ จะต้องมีความรับผิดชอบต่อข้อมูลของลูกค้า เมื่อมีคนมาชี้จุดอ่อนหรือช่องโหว่ในระบบ ก็ควรจะมองเห็นเป็นโอกาสแล้วรีบแก้ไขโดยเร็ว ดีกว่าแสดงออกด้วยความไม่พอใจ

อ้างอิง

พิสูจน์อักษร : สุชยา เกษจำรัส