Índice:
O que você precisa saber
- Dois pesquisadores de segurança israelenses descobriram um banco de dados Biostar 2 não criptografado com 23 GB de dados
- Incluídos nos dados estavam impressões digitais, varreduras faciais, nomes de usuários, senhas e outras informações pessoais de mais de 1 milhão de pessoas.
- A vulnerabilidade foi encerrada e a empresa está fazendo uma avaliação detalhada das informações.
Na semana passada, os pesquisadores de segurança israelenses Noam Rotem e Ran Locar descobriram on-line um banco de dados Biostar 2 publicamente acessível e não criptografado. O banco de dados incluía impressões digitais, varreduras faciais, nomes de usuário e senhas e informações pessoais de mais de 1 milhão de pessoas.
O Biostar 2 é um sistema de bloqueio biométrico desenvolvido pela empresa de segurança Suprema que se integra ao sistema de controle de acesso AEOS. O AEOS é usado apenas em 83 países em todo o mundo e em 5.700 organizações, incluindo governos, bancos e a Polícia Metropolitana do Reino Unido.
Rotem e Locar encontraram esse banco de dados durante um projeto paralelo com o vpnmentor, no qual eles examinam "portas procurando blocos IP familiares e depois os usam para encontrar falhas nos sistemas das empresas que podem levar a violações de dados".
Depois que o par encontrou o banco de dados do Biostar 2, eles foram capazes de pesquisar no banco de dados e manipular URLs para obter acesso aos dados.
Os pesquisadores tiveram acesso a mais de 27, 8 milhões de registros e 23 gigabytes de dados, incluindo painéis de administração, painéis, dados de impressões digitais, dados de reconhecimento facial, fotos de rosto de usuários, nomes de usuário e senhas não criptografados, registros de acesso a instalações, níveis de segurança e liberação, e detalhes pessoais da equipe.
Falando ao Guardian, Rotem disse que a maioria dos nomes de usuário e senhas não foram criptografados e que eles também foram capazes de alterar dados e adicionar novos usuários ao sistema.
No artigo sobre a descoberta fornecida ao Guardian antes de ser publicada pelo vpnmentor na quarta-feira, os pesquisadores disseram que eram capazes de acessar dados de organizações colaboradoras nos EUA e na Indonésia, uma rede de academias na Índia e no Paquistão, uma fornecedora de medicamentos na Índia. Reino Unido e um desenvolvedor de espaço para estacionamento na Finlândia, entre outros.
O que torna isso ainda mais perigoso, são os pesquisadores apontaram que o banco de dados inclui as impressões digitais das pessoas. Isso significa que a impressão digital pode ser copiada e usada por outras pessoas, em vez de armazenar um hash da impressão digital que não pode ter engenharia reversa.
Rotem e Locar fizeram várias tentativas de entrar em contato com Suprema antes de enviar seu trabalho ao Guardian no final da semana passada e, na manhã de quarta-feira, a vulnerabilidade foi corrigida. O chefe de marketing da Suprema, Andy Ahn, disse ao Guardian que a empresa está fazendo uma "avaliação aprofundada" das informações e:
Se houver alguma ameaça definitiva em nossos produtos e / ou serviços, tomaremos medidas imediatas e faremos anúncios apropriados para proteger os negócios e ativos valiosos de nossos clientes.
Todos nós vimos as notícias sobre violações de segurança e é mais do que provável que você já foi vítima de uma delas no passado. Geralmente, você precisa alterar sua senha, mas quando se trata de dados biométricos, não é possível alterar apenas a impressão digital ou o rosto.
Quão seguro é o reconhecimento facial no Galaxy S10?
