Tabla de contenido:
Lo que necesitas saber
- Dos investigadores de seguridad israelíes descubrieron una base de datos Biostar 2 sin cifrar con 23 GB de datos
- En los datos se incluyeron huellas digitales, escaneos faciales, nombres de usuario, contraseñas y otra información personal de más de 1 millón de personas.
- La vulnerabilidad ahora se ha cerrado y la compañía está haciendo una evaluación profunda de la información.
La semana pasada, los investigadores de seguridad israelíes Noam Rotem y Ran Locar descubrieron en línea una base de datos Biostar 2 de acceso público en su mayoría sin encriptar. La base de datos incluía huellas digitales, escaneos faciales, nombres de usuario y contraseñas e información personal de más de 1 millón de personas.
Biostar 2 es un sistema de bloqueo biométrico desarrollado por la compañía de seguridad Suprema que se integra con el sistema de control de acceso AEOS. El AEOS se utiliza en 83 países de todo el mundo y 5.700 organizaciones, incluidos gobiernos, bancos y la Policía Metropolitana del Reino Unido.
Rotem y Locar se encontraron con esta base de datos durante un proyecto paralelo con vpnmentor en el que escanean "puertos en busca de bloques de IP conocidos, y luego usan estos bloques para encontrar agujeros en los sistemas de las empresas que podrían conducir a violaciones de datos".
Después de que la pareja encontró la base de datos de Biostar 2, pudieron buscar en la base de datos y manipular las URL para obtener acceso a los datos.
Los investigadores tuvieron acceso a más de 27.8 millones de registros y 23 gigabytes de datos, incluidos paneles de administración, tableros, datos de huellas digitales, datos de reconocimiento facial, fotos faciales de usuarios, nombres de usuario y contraseñas sin cifrar, registros de acceso a las instalaciones, niveles de seguridad y autorización, y detalles personales del personal.
En declaraciones a The Guardian, Rotem dijo que la mayoría de los nombres de usuario y contraseñas no estaban cifrados y que también podían cambiar datos y agregar nuevos usuarios al sistema.
En el documento sobre el descubrimiento proporcionado a The Guardian antes de ser publicado por vpnmentor el miércoles, los investigadores dijeron que pudieron acceder a datos de organizaciones de trabajo conjunto en los EE. UU. E Indonesia, una cadena de gimnasios en India y Pakistán, un proveedor de medicamentos en Reino Unido, y un desarrollador de plazas de aparcamiento en Finlandia, entre otros.
Lo que hace que esto sea aún más peligroso es que los investigadores señalaron que la base de datos incluye las huellas digitales de las personas. Eso significa que la huella digital puede ser copiada y utilizada por otros, en lugar de almacenar un hash de la huella digital que no se puede realizar ingeniería inversa.
Rotem y Locar hicieron múltiples intentos de contactar a Suprema antes de enviar su periódico al Guardian a fines de la semana pasada, y hasta el miércoles por la mañana, la vulnerabilidad se ha solucionado. El jefe de marketing de Suprema, Andy Ahn, le dijo a The Guardian que la compañía está haciendo una "evaluación en profundidad" de la información y:
Si ha habido una amenaza definitiva en nuestros productos y / o servicios, tomaremos medidas inmediatas y haremos los anuncios apropiados para proteger los valiosos negocios y activos de nuestros clientes.
Todos hemos visto las noticias sobre violaciones de seguridad, y es muy probable que haya sido víctima de una de ellas en el pasado. Por lo general, requiere que cambie su contraseña, pero cuando se trata de sus datos biométricos, no puede simplemente cambiar su huella digital o cara.
¿Qué tan seguro es el reconocimiento facial en el Galaxy S10?
