Banco com dados biométricos é encontrado por pesquisadores sem restrição de acesso
16 de agosto de 2019Os pesquisadores israelenses Noam Rotem e Ran Locar tiveram acesso a mais de 27,8 milhões de registros biométricos e 23 gigabytes de dados, incluindo dados de impressões digitais, dados de reconhecimento facial
Conforme noticiado pelo The Guardian nesta quarta-feira dia 14 de agosto, no reino unido impressões digitais de mais de 1 milhão de pessoas, bem como informações utilizadas para reconhecimento facial, nomes de usuário e senhas não criptografados e informações pessoais dos funcionários foram descobertas em um banco de dados acessível publicamente
A Suprema é a empresa de segurança responsável pelo sistema de bloqueio biométrico Biostar 2 baseado na web que permite o controle centralizado de acesso a instalações seguras, como armazéns ou prédios de escritórios.
O Biostar 2 usa impressões digitais e reconhecimento facial como parte de seus meios para identificar pessoas que tentam obter acesso a edifícios.
No mês passado, a Suprema anunciou que sua plataforma Biostar 2 foi integrada a outro sistema de controle de acesso – o AEOS.
O AEOS é usado por 5.700 organizações em 83 países, incluindo governos, bancos e a polícia metropolitana do Reino Unido.
Noam Rotem
Pesquisadores israelenses de segurança Noam Rotem e Ran Locar divulgaram uma pesquisa na semana passada, em que descobriram que o banco de dados do Biostar 2 estava desprotegido e sem criptografia.
Eles conseguiram pesquisar o banco de dados manipulando os critérios de pesquisa de URL no Elasticsearch para obter acesso aos dados.
Os pesquisadores tiveram acesso a mais de 27,8 milhões de registros e 23 gigabytes de dados, incluindo painéis de administração, painéis, dados de impressões digitais, dados de reconhecimento facial, fotos de usuários, nomes de usuário e senhas não criptografados, registros de acesso às instalações, níveis de segurança e liberação e detalhes pessoais do pessoal.
Muitos dos nomes de usuário e senhas não foram criptografados, disse Rotem ao Guardian.
“Conseguimos encontrar senhas em texto simples de contas de administrador”, disse ele. “O acesso permite ver, antes de mais nada, que milhões de usuários estão usando este sistema para acessar diferentes locais e ver em tempo real qual usuário entra em qual instalação ou qual sala em cada instalação, mesmo.” “Fomos capazes de alterar dados e adicionar novos usuários”, disse ele.
Isso significaria que ele poderia editar a conta de um usuário existente e adicionar sua própria impressão digital e, em seguida, ser capaz de acessar qualquer edifício que o usuário estivesse autorizado a acessar ou apenas se adicionar como usuário com suas fotos e impressões digitais.
No documento sobre a descoberta fornecida ao Guardian antes de ser publicado pela vpnmentor na quarta-feira, os pesquisadores disseram que podiam acessar dados de organizações de trabalho nos EUA, Indonésia, Índia, Sri Lanka, Reino Unido e Finlândia, entre outros.
Os pesquisadores disseram que a escala da brecha era alarmante porque o serviço está em 1,5 milhão de locais em todo o mundo e porque, diferentemente das senhas vazadas, no caso de vazamentos você não poderá mudar sua impressão digital.
Em vez de salvar um hash da impressão digital (que não pode ser engenharia reversa), eles estão salvando as impressões digitais reais das pessoas que podem ser copiadas para fins maliciosos”, disseram os pesquisadores no documento.
Em vez de salvar um hash da impressão digital (que não pode ser engenharia reversa), eles estão salvando as impressões digitais reais das pessoas que podem ser copiadas para fins maliciosos”, disseram os pesquisadores no documento.
Os pesquisadores fizeram várias tentativas para contatar a Suprema antes de levar o documento ao Guardian na semana passada.
Na madrugada de quarta-feira (horário da Austrália) a vulnerabilidade foi encerrada, mas eles ainda não ouviram falar da empresa de segurança.
O chefe de marketing da Suprema, Andy Ahn, disse ao Guardian que a empresa havia feito uma “avaliação aprofundada” das informações fornecidas pela vpnmentor e informaria os clientes se houvesse uma ameaça.
“Se houver qualquer ameaça definitiva em nossos produtos e / ou serviços, tomaremos medidas imediatas e faremos anúncios apropriados para proteger os valiosos negócios e ativos de nossos clientes”, disse Ahn.
Rotem disse que o problema não era exclusivo da Suprema.
“É muito comum. Há literalmente milhões de sistemas abertos, e passar por eles é um processo muito tedioso ”, disse ele. “E alguns dos sistemas são bastante sensíveis”.
Ele disse que as vulnerabilidades da cadeia de suprimentos – onde uma empresa usa uma empresa terceirizada para um serviço que não possui segurança adequada – eram comuns, mas muitas das vulnerabilidades descobertas estavam com empresas da Fortune 500.
Rotem disse que contata cerca de três ou quatro empresas por semana com problemas semelhantes. No início deste ano, Rotem apontou uma falha substancial no sistema de reservas de voos da Amadeus.
“Erros acontecem, e o verdadeiro teste é como você lida com eles”, disse Rotem. “Se você tem uma equipe de segurança que possa responder com rapidez e eficiência, é bom o suficiente. Se você tem uma equipe de segurança que enviará uma equipe jurídica para ameaçar você, bem, é menos eficiente.
“E isso acontece bastante. É desagradável alguém apontar que você tem uma vulnerabilidade ou fraqueza. Algumas pessoas tomam isso como uma oportunidade para consertá-lo e algumas pessoas ficam ofendidas com isso por algum motivo”.
Fonte: The Guardian
Comissão aprova identificação civil obrigatória de presos por reconhecimento facial
O reconhecimento facial abre caminho para o pesadelo de George Orwell
