荷蘭IT安全咨詢公司Modat發現，全球范圍內部署的約49,000個訪問管理系統（AMS）存在嚴重的安全漏洞。這些系統本應通過密碼、生物識別和多因素認證等身份驗證方法控制建筑物訪問，然而卻因關鍵配置錯誤導致敏感數據暴露，使設施面臨未經授權進入的風險。

此次發現暴露了一個跨越多個領域的重大全球性安全威脅，涉及醫療、教育、制造、建筑、石油行業和政府機構等。

漏洞帶來雙重威脅

訪問管理系統通過多種方法驗證用戶身份，并根據預定策略授權訪問權限。當這些系統配置不當時，會帶來雙重威脅：一是未經授權的物理訪問建筑物，二是未經授權的數字訪問存儲在系統中的敏感信息。

Heise Online的研究人員發現了大量案例，其中員工照片、全名、身份證號碼、訪問卡詳細信息、生物識別數據、車輛牌照、工作安排甚至設施訪問憑證等數據完全未受保護，潛在攻擊者可以輕易獲取。暴露的生物識別數據尤其令人擔憂，因為與密碼不同，這些信息一旦泄露便無法更改。

漏洞利用與地理分布

安全專家強調，此類暴露的數據為各種網絡威脅提供了廣泛的攻擊面，包括釣魚攻擊、身份盜竊、社會工程攻擊以及專門設計的欺詐計劃，旨在從組織和個人中竊取更多敏感信息。

漏洞系統的地理分布顯示出令人擔憂的模式，其中歐洲、美國、中東和北非的漏洞系統最為集中。研究發現，意大利是受影響最嚴重的國家，擁有16,678個漏洞系統，其次是墨西哥（5,940個）和越南（5,035個）。印度排名第十，約有1,070個受影響的系統。值得注意的是，德國并未進入受影響最嚴重國家的前十名。

漏洞分析與修復建議

受影響系統中的身份驗證協議揭示了導致可利用安全漏洞的一致錯誤配置模式。在典型的安全實施中，訪問管理系統應使用類似于以下配置代碼：access_protocol.biometric_data.storage = "encrypted"; remote_access.public_endpoints = FALSE; authentication.credential_exposure = "restricted";

然而，調查人員發現數以千計的系統采用了默認或不正確的設置，導致API端點和憑證數據庫暴露在未經授權的查詢中。對這些漏洞系統的連接請求通常會以未加密的格式返回敏感數據，而無需進行適當的身份驗證挑戰，這為即使是技術不高的攻擊者提供了簡單的利用途徑。

修改幾個配置參數即可修復許多這些漏洞，但系統管理員對安全最佳實踐的普遍誤解導致了這一全球性安全漏洞。