面部 DNA 提供商通过 WordPress 文件夹泄露生物特征数据

ChiceDNA 在一个不安全的 WordPress 文件夹中泄露了 8,000 条敏感记录，包括生物特征图像、个人详细信息和面部 DNA 数据。

隐私问题凸显了加强数据保护的必要性。

印第安纳州一家基因 DNA 检测和面部匹配服务提供商泄露了数千名客户的个人、生物特征和 PII 数据。

网络安全研究员 Jeremiah Fowler 向 Hackread 报告了此事件，他以在恶意行为者利用配置错误的数据库之前识别并向公司报告这些数据库而闻名。

此次事件的问题在于，这次没有配置错误的数据库或被入侵的云服务器。

这只是一个不安全的 WordPress 文件夹，其中包含大量敏感数据，可供公众访问，无需任何密码或安全认证。

泄露的数据包括约 8,000 份文件。

其中包括生物特征图像、姓名、电话号码、电子邮件地址、种族或民族身份以及详细说明寻求面部 DNA 分析原因的个人笔记。

泄露的信息还包括弱势个人的记录，包括新生儿。

这些记录存储在一个名为“面部识别上传”的非安全 WordPress 文件夹中，任何拥有网络浏览器的人都可以访问。

曝光持续的时间未知，引发了人们对这些敏感信息可能被滥用的担忧。

在发布前与分享的报告中，生物特征数据（例如面部识别信息）高度敏感，可用于识别个人、追踪其活动，甚至通过deepfakes操纵其身份。

未经明确同意收集、存储和分析此类数据是对个人隐私的严重侵犯。

元数据，即描述、组织和管理数据的信息，也可能带来重大风险。

在这种情况下，暴露的元数据包括个人身份信息 (PII)，例如姓名、电子邮件和电话号码。

这些信息可能被用于网络钓鱼、社会工程或勒索企图。

供您参考，ChoiceDNA 是一家位于印第安纳州的公司，提供 DNA 检测和面部识别服务，称为 FACE IT DNA。

它使用面部比较技术分析图像以确定家庭成员之间存在遗传联系的可能性。

基本套餐价格为 38 美元，而 PRO 套餐价格为 63 美元。 

Fowler 向该公司发送了一份负责任的披露通知，随后数据库得到了及时保护。

不过，此类事件表明了安全数据存储实践的重要性。

WordPress虽然是一种流行的内容管理系统，但如果配置不正确，也可能存在漏洞。

本案中暴露的数据存储在不安全的 WordPress 文件夹中，这凸显了采取强有力的安全措施来保护敏感信息的必要性。

已知数据暴露的公司和用户/客户应立即更改密码，避免在多个帐户中重复使用相同的密码。

为每个帐户创建强大的唯一密码，并启用双因素身份验证 ( 2FA ) 作为额外的安全保障。

公开电子邮件和电话号码时要小心谨慎，因为可能会出现钓鱼企图或可疑的附加信息请求。

验证敏感信息请求（如银行或信用卡信息），以确保对方和请求合法。

原文始发于微信公众号（网络研究观）：面部 DNA 提供商通过 WordPress 文件夹泄露生物特征数据