近年来发生的多起大规模信息泄露事件，使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光，那后果就更加严重了，毕竟这类数据无法更改，一旦泄露可能会造成永久损害，并且，攻击者可利用这些信息开展各种犯罪活动。遗憾的是，这正是 Suprema Biostar 2 指纹锁身上所发生的事情。 ​​​​​​​

昨天，卫报发布了一篇报告，报告中称：在 Metropolitan Police、国防承包商和银行等公司使用的公共数据库中发现了超过百万人的指纹、面部识别信息、未加密的用户名、密码以及员工个人信息（如家庭住址和电子邮件）。

该数据库由总部位于韩国的跨国公司Suprema运营，并通过其基于网络的Biostar 2智能锁平台收集信息。Suprema 是负责基于网络的 Biostar 2 生物识别锁定系统的安全公司，该系统允许集中控制对仓库或办公楼等建筑物的访问。Biostar 2 通过指纹和面部识别来辨别想要进入建筑物的人。Suprema 生物识别认证系统有许多企业和公共机构大客户——其中包括英国大都会警察局、国防承包商和银行——美国、巴基斯坦、芬兰、印尼等地的跨国企业也是其客户。

研究人员Noam Rotem 介绍：“数据库中大部分用户名和密码都没有加密，我们甚至可以找到管理员账户的纯文本密码。同时，我们还可以看到数百万用户正在哪些位置访问该系统，并实时查看某个用户进入了哪个建筑物，甚至可以精确到建筑物的某个房间。另外，数据库中的数据还可被新增和修改，这意味着攻击者可以编辑现有的用户账户，并将其指纹替换成自己的指纹，进而获得访问相关建筑物的权限，也可以在数据库中新增自己的账户来获得相关权限。” 更令人不安的是，研究人员发现密码数据根本没有受到任何保护，使得黑客能够轻易复制指纹数据、并将之用于恶意目的。

Suprema 未采用无法进行逆向工程的散列式指纹数据存储，而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。从理论上讲，攻击者可以突破所有需要被授权进入的地方。 一旦曝光，生物识别指纹信息就无法更改。而且大多数指纹扫描器都是未加密的，因此当黑客开发出复制指纹的技术时，他们将可以访问存储在受害者设备上的所有私人信息，例如消息、照片和付款方式。 可这么大个事出现了，Suprema 营销主管还风轻云淡的表示：“这没什么好担心的”，而且在研究人员向其报告了漏洞一周后，该漏洞数据库才被关闭。