未加密的数据库暴露了76000个指纹

一家为全球公司处理员工指纹识别的安全公司公布了超过200万条数据，其中包括76000条指纹。

Antheus Tecnologia是一家开发和管理自动指纹识别系统的巴西公司，在他们的服务器上留下了16G高度敏感的与客户身份识别和生物特征细节有关的信息。 这一漏洞是安全侦探网站的研究人员发现的，该网站专门分析杀毒软件。 研究人员说，这一违约行为已经得到了保证。

生物识别数据窃的威胁比平均密码违反或恶意软件感染更严重。 一旦发现漏洞，用户可以更改密码或应用软件补丁来消除威胁。 但是指纹数据是不同的：指纹是终身的，它们不能被“升级”或改变。 虹膜扫描和面部识别数据基本上也是永久性的。

Antheus服务器被发现采用了与系统访问有关的薄弱措施。 它还存储了实际的指纹图像和索引日志，这些图像和索引日志可以很容易地匹配并用于恶意黑客的犯罪活动。

研究人员Anurag Sen说：“考虑到信息的重要性，安休斯·泰克诺洛尼亚存储信息的不安全方法是相当令人震惊的。”

他解释说：“安修斯没有保存指纹的哈希值（不能进行逆向工程），而是通过原始编码来保存人们的实际指纹，然后再进行恶意复制。”

考虑到越来越多地依赖生物识别数据来获取个人计算机、移动电话、银行和商业机构，安全漏洞令人不安。

这一事件让人想起2015年联邦调查局使用的2200万个人记录和100万指纹的网络窃。 安全身份和生物特征识别协会的创始人Janice Kephart对一名身份窃受害者的事件进行了分析，她说，自2000年以来为政府工作的所有人“现在不仅根据我们的传记信息被盗用身份，而且我们的指纹现在永远与这些传记数据相连”。

森指出，违规行为使用户面临的犯罪活动类型包括身份窃、获取机密信息、金融窃、钓鱼攻击、勒索、勒索和赎金。

他列举了一些措施，其中许多是早已确立的常识性解决方案，以防止被盗。 其中：

-检查你的网站是否安全(查找https和/或闭锁)

-只提供你认为自信的东西，不能用来反对你（避免政府的身份证号码，个人喜好，如果公开，可能会给你带来麻烦等）

-通过组合字母、数字和符号来创建安全密码-使用在线扫描工具检查您的设备是否存在已知的漏洞-除非您确定发件人是合法的，否则不要单击电子邮件中的链接-避免使用信用卡信息并通过无安全保障的Wi Fi网络键入密码