Una brecha en la plataforma de seguridad Bio Star 2 expuso millones de registros de huellas digitales, contraseñas y datos de reconocimiento facial
La biometría ahora se usa para asegurar los activos físicos y digitales, y hay una muy buena razón para esto. La autenticación de usuarios con la ayuda de lectores de huellas digitales o sistemas de reconocimiento facial no solo es más rápida y conveniente, sino que también es bastante más segura que las alternativas. Los datos biométricos también pueden facilitar que los administradores y los equipos de seguridad de las grandes organizaciones establezcan políticas sólidas de control de acceso y garanticen que todo se registre correctamente.
Sin embargo, a pesar de todos sus beneficios, la biometría tiene una desventaja importante que los escépticos de la tecnología citan con frecuencia. Es el hecho de que, a diferencia de las contraseñas, las huellas digitales y las caras no se pueden cambiar ni restablecer. Si se exponen datos biométricos, se exponen para siempre y las consecuencias pueden ser bastante graves. Una fuga de datos reciente en una plataforma de seguridad llamada Bio Star 2 nos mostró cuán serios podrían ser.
Table of Contents
La violación de datos de Bio Star 2 podría haber tenido consecuencias desastrosas
Aquellos de ustedes que se esfuerzan por mantenerse al día con las noticias en la industria de seguridad de la información han oído hablar de Noam Rotem, Ran Locar y su equipo en vpnMentor. En los últimos meses, han descubierto más de unas pocas bases de datos y servidores mal configurados que estaban filtrando toneladas de información confidencial. Sin embargo, la violación de Bio Star 2 podría ser el incidente más grave que hayan visto.
Una vez más, la información expuesta se encontraba en una base de datos Elasticsearch que no estaba protegida por una contraseña y era accesible desde cualquier parte del mundo. Entre otras cosas, la base de datos contenía más de un millón de escaneos de huellas digitales e imágenes de usuarios que han estado utilizando dispositivos de reconocimiento facial integrados en Bio Star 2. Esto, por sí solo, suena bastante mal, pero empeora.
Según Rotem y Locar, Bio Star 2 tiene más de 1.5 millones de instalaciones en todo el mundo, y su desarrollador, Suprema, se asoció recientemente con una compañía tecnológica llamada Nedap para integrar la plataforma en el sistema de control de acceso AEOS. AEOS es utilizado por cerca de 6 mil organizaciones que van desde pequeños gimnasios hasta grandes agencias gubernamentales y de aplicación de la ley. Los investigadores dijeron que estimar el número exacto de personas afectadas es difícil, pero señalaron que algunos de los empleados de dichas agencias podrían haber expuesto sus datos biométricos.
Los nombres de usuario, las contraseñas y otros detalles confidenciales también se filtraron
Desafortunadamente, la instalación de Elasticsearch mal configurada contenía mucho más que solo huellas dactilares e información de reconocimiento facial. Los investigadores encontraron títulos, estructuras y jerarquías de los empleados, niveles de seguridad, autorizaciones y registros que detallan quién accedió a las áreas seguras y cuándo. También se filtró información personal, como direcciones de casa y correo electrónico, y también algunos conjuntos de nombres de usuario y contraseñas.
Los investigadores no entraron en demasiados detalles sobre para qué se usaron exactamente estas credenciales de inicio de sesión, pero no dijeron que podrían haber dado acceso a los ciberdelincuentes a paneles de administración, tableros y la infraestructura de back-end de las organizaciones que usan Bio Star 2. Aunque se suponía que protegerían algunos activos serios, algunas de las contraseñas que encontraron Rotem y Locar eran lamentablemente débiles. Esto, aunque bastante preocupante, no es especialmente sorprendente . Sin embargo, lo que es bastante sorprendente es el hecho de que las personas que desarrollan Bio Star 2 realmente no han hecho lo suficiente para proteger la seguridad de sus clientes. Y eso incluso sin considerar el error de configuración que dejó la base de datos expuesta.
La fuga de datos reveló los problemas de manejo de datos de Bio Star 2
Los investigadores encontraron la base de datos expuesta el 5 de agosto, e inmediatamente se pusieron en contacto con Suprema y revelaron la violación. El equipo hizo "numerosos intentos" para ponerse en contacto con los desarrolladores por correo electrónico, pero después de no recibir respuesta, levantaron el teléfono e intentaron llamar a las oficinas de la compañía en Alemania. Por razones que son completamente insondables, los empleados alemanes de Suprema se negaron a discutir el asunto. vpnMentor intentó contactar al equipo francés del desarrollador, y esta vez recibieron un poco más de cooperación. El 13 de agosto, los datos fueron finalmente asegurados.
La reacción del desarrollador ciertamente no fue tan buena como debería haber sido, pero desafortunadamente, esto está lejos de ser el único problema.
Todas las credenciales de inicio de sesión que encontraron Rotem y Locar se almacenaron en texto sin formato, que es la forma más insegura de manejar este tipo de datos. La situación con los registros biométricos era prácticamente la misma: Bio Star 2 no había hecho nada para protegerlos en caso de que se filtraran.
Si una empresa es responsable de garantizar la seguridad de tantas organizaciones que, a su vez, necesitan cuidar tanta información importante, este tipo de error es simplemente inaceptable, y estamos bastante seguros de que algunos de los clientes de Bio Star no son especialmente feliz en este momento. Como puede ver, hay una buena razón para esto.
