Une violation de la plate-forme de sécurité Bio Star 2 a révélé des millions d'enregistrements d'empreintes digitales, de mots de passe et de données de reconnaissance faciale
La biométrie est maintenant utilisée pour sécuriser les actifs physiques et numériques, et cela pour une très bonne raison. Authentifier les utilisateurs à aide de lecteurs empreintes digitales ou de systèmes de reconnaissance faciale est non seulement plus rapide et plus pratique, mais également un peu plus sécurisé que les solutions de rechange. Les données biométriques peuvent également aider les administrateurs et les équipes de sécurité des grandes entreprises à configurer plus facilement des stratégies de contrôle accès strictes et à assurer que tout est correctement consigné.
Malgré tous ses avantages, la biométrie présente toutefois un inconvénient majeur, souvent cité par les sceptiques de la technologie. est le fait que, contrairement aux mots de passe, les empreintes digitales et les faces ne peuvent être ni modifiés ni réinitialisés. Si des données biométriques sont exposées, elles le sont pour de bon et les conséquences peuvent être assez graves. Une fuite de données récente sur une plate-forme de sécurité appelée Bio Star 2 nous a montré à quel point elles pouvaient être sérieuses.
Table of Contents
La violation de données Bio Star 2 aurait pu avoir des conséquences désastreuses
Ceux entre vous qui efforcent de rester au courant des actualités du secteur de la sécurité de information ont entendu parler de Noam Rotem, de Ran Locar et de leur équipe chez vpnMentor. Au cours des derniers mois, ils ont découvert plus que un peu de bases de données mal configurés et les serveurs qui ont des fuites informations sensibles tonnes. La violation de Bio Star 2, cependant, pourrait très bien être l’incident le plus grave qu’ils aient vu.
Une fois encore, les informations exposées se trouvaient dans une base de données Elasticsearch non protégée par un mot de passe et accessible de partout dans le monde. Entre autres choses, la base de données contenait plus un million analyses empreintes digitales et images utilisateurs qui utilisaient des appareils de reconnaissance faciale intégrés à Bio Star 2. Cela, en soi, sonne assez mal, mais cela empire beaucoup.
Selon Rotem et Locar, Bio Star 2 compte plus de 1,5 million installations dans le monde et son développeur, Suprema, est récemment associé à une société de technologie appelée Nedap afin intégrer la plate-forme dans le système de contrôle accès AEOS. AEOS est utilisé par près de 6 000 organisations, allant des petits gymnases aux énormes gouvernements et aux organismes chargés de application de la loi. Les chercheurs ont déclaré q il était difficile estimer le nombre exact de personnes touchées, mais ils ont précisé que certains des employés de ces agences auraient pu voir leurs données biométriques exposées.
Les noms utilisateur, mots de passe et autres détails sensibles ont également été divulgués
Malheureusement, l’installation mal configurée d’Elasticsearch ne contenait pas que des empreintes digitales et des informations de reconnaissance faciale.. Les chercheurs ont trouvé les intitulés de poste, les structures et les hiérarchies, les niveaux de sécurité, les autorisations et les journaux des employés, détaillant les utilisateurs ayant accédé aux zones sécurisées et à quel moment. Des informations personnelles, telles que les adresses personnelle et électronique, ont également été divulguées, de même que de nombreux jeux de noms utilisateur et de mots de passe.
Les chercheurs n’ont pas expliqué en détail l’utilisation exacte de ces informations d’identification, mais ils n’auraient pas pu donner aux cybercriminels l’accès aux panneaux d’administration, aux tableaux de bord et à l’infrastructure dorsale des organisations utilisant Bio Star 2. censés protéger certains actifs sérieux, certains des mots de passe trouvés par Rotem et Locar étaient terriblement faibles. Ceci, bien que très inquiétant, n’est pas particulièrement surprenant . Ce qui est assez choquant, cependant, est le fait que les développeurs de Bio Star 2 n’ont pas vraiment fait assez pour protéger la sécurité de leurs clients. Et est même sans considérer erreur de configuration qui a laissé la base de données exposée.
La fuite de données a révélé les problèmes de traitement des données de Bio Star 2
Les chercheurs ont trouvé la base de données exposée le 5 août et ont immédiatement pris contact avec Suprema pour révéler la violation. L’équipe a fait de «nombreuses tentatives» pour contacter les développeurs par courrier électronique, mais n’ayant reçu aucune réponse, elle a décroché le téléphone et essayé d’appeler les bureaux de la société en Allemagne. Pour des raisons totalement insondables, les employés allemands de Suprema ont refusé de discuter. vpnMentor a ensuite essayé de contacter équipe française du développeur, qui a bénéficié cette fois un peu plus de coopération. Le 13 août, les données ont finalement été sécurisées.
La réaction du développeur n’a certainement pas été aussi bonne qu’elle aurait dû l’être, mais malheureusement, c’est loin d’être le seul problème.
Toutes les informations identification de connexion trouvées par Rotem et Locar étaient stockées en texte brut, ce qui est à peu près le moyen le plus sûr de gérer ce type de données. La situation concernant les enregistrements biométriques était à peu près la même: Bio Star 2 avait rien fait pour les protéger en cas de fuite.
Si une entreprise est responsable de la sécurité de tant d’organisations qui, à leur tour, doivent s’occuper d’informations aussi importantes, ce type d’erreur est tout simplement inacceptable et nous sommes à peu près certains que certains clients de Bio Star ne le sont pas. particulièrement heureux en ce moment. Comme vous pouvez le constater, il y a une bonne raison à cela.
