Una violazione della piattaforma di sicurezza Bio Star 2 ha rivelato milioni di registrazioni di impronte digitali, password e dati di riconoscimento facciale

La biometria è ora utilizzata per proteggere sia le risorse fisiche che quelle digitali, e è u ottima ragione per questo. autenticazione degli utenti con aiuto di lettori di impronte digitali o sistemi di riconoscimento facciale non è solo più rapida e conveniente, ma è anche un po più sicura delle alternative. I dati biometrici possono anche rendere più semplice per gli amministratori e i team di sicurezza delle grandi organizzazioni la creazione di solide politiche di controllo degli accessi e garantire che tutto sia registrato correttamente.

Per tutti i suoi benefici, tuttavia, la biometria ha un grande svantaggio che viene spesso citato dagli scettici della tecnologia. È un dato di fatto che a differenza di password, impronte digitali e volti non possono essere modificati o ripristinati. Se i dati biometrici sono esposti, sono esposti per sempre e le conseguenze possono essere abbastanza gravi. Una recente perdita di dati in una piattaforma di sicurezza chiamata Bio Star 2 ci ha mostrato quanto possano essere seri.

La violazione dei dati di Bio Star 2 avrebbe potuto avere conseguenze disastrose

Quelli di voi che si sforzano di rimanere aggiornati con le notizie nel settore della sicurezza delle informazioni hanno sentito parlare di Noam Rotem, Ran Locar e del loro team di vpnMentor. Nel corso degli ultimi mesi, hanno scoperto più di un paio di basi di dati mal configurati e server che sono state perdite tonnellate di informazioni sensibili. La violazione di Bio Star 2, tuttavia, potrebbe benissimo essere incidente più grave che abbiano mai visto.

Ancora una volta, le informazioni esposte erano contenute in un database Elasticsearch che non era protetto da una password ed era accessibile da qualsiasi parte del mondo. Tra le altre cose, il database conteneva oltre un milione di scansioni di impronte digitali e immagini di utenti che hanno utilizzato dispositivi di riconoscimento facciale integrati in Bio Star 2. Questo, da solo, suona abbastanza male, ma peggiora molto.

Secondo Rotem e Locar, Bio Star 2 ha oltre 1,5 milioni di installazioni in tutto il mondo e il suo sviluppatore, Suprema, ha recentemente collaborato con una società tecnologica chiamata Nedap per integrare la piattaforma nel sistema di controllo accessi AEOS. AEOS è utilizzato da quasi 6 mila organizzazioni che vanno da piccole palestre a enormi enti governativi e delle forze del ordine. I ricercatori hanno affermato che è difficile stimare il numero esatto di soggetti colpiti, ma hanno sottolineato che alcuni dipendenti di tali agenzie potrebbero aver esposto i loro dati biometrici.

Sono stati inoltre divulgati nomi utente, password e altri dettagli sensibili

Sfortunatamente, installazione di Elasticsearch non correttamente configurata conteneva molto più di semplici impronte digitali e informazioni sul riconoscimento facciale. I ricercatori hanno trovato i titoli di lavoro, le strutture e le gerarchie dei dipendenti, i livelli di sicurezza, le autorizzazioni e i registri che dettagliavano accesso alle aree protette e quando. Anche le informazioni personali, come gli indirizzi di casa e di posta elettronica, sono trapelate, così come alcuni set di nomi utente e password.

I ricercatori non sono entrati in troppi dettagli sul uso esatto di queste credenziali di accesso, ma non hanno potuto fornire ai criminali informatici accesso ai pannelli di amministrazione, ai dashboard e al infrastruttura di back-end delle organizzazioni che utilizzano Bio Star 2. Anche se hanno dovevano proteggere alcuni beni seri, alcune delle password che Rotem e Locar trovarono erano terribilmente deboli. Questo, sebbene abbastanza preoccupante, non è particolarmente sorprendente . Ciò che è piuttosto scioccante, tuttavia, è il fatto che le persone che sviluppano Bio Star 2 non hanno fatto abbastanza per proteggere la sicurezza dei loro clienti. E questo anche senza considerare errore di configurazione che ha lasciato il database esposto.

La perdita di dati ha rivelato i problemi di gestione dei dati di Bio Star 2

I ricercatori hanno trovato il database esposto il 5 agosto e si sono immediatamente messi in contatto con Suprema e rivelando la violazione. Il team ha fatto "numerosi tentativi" per contattare gli sviluppatori via e-mail, ma dopo aver ricevuto alcuna risposta, hanno preso il telefono e hanno provato a chiamare gli uffici del azienda in Germania. Per ragioni assolutamente insondabili, i dipendenti tedeschi di Suprema si sono rifiutati di discutere la questione. vpnMentor ha quindi provato a contattare il team francese dello sviluppatore e questa volta ha ricevuto un po più di collaborazione. Il 13 agosto, i dati sono stati finalmente protetti.

La reazione dello sviluppatore certamente non è stata buona come avrebbe dovuto essere, ma sfortunatamente, questo è tut altro che unico problema.

Tutte le credenziali di accesso che Rotem e Locar hanno trovato sono state archiviate in testo normale, che è quasi il modo più insicuro di gestire questo tipo di dati. La situazione con i record biometrici era praticamente la stessa: Bio Star 2 non aveva fatto nulla per proteggerli in caso di perdite.

Se u azienda è responsabile di garantire la sicurezza di così tante organizzazioni che, a loro volta, devono prendersi cura di così tante informazioni importanti, questo tipo di errore è semplicemente inaccettabile e siamo abbastanza sicuri che alcuni dei clienti di Bio Star non lo siano particolarmente felice al momento. Come puoi vedere, è una buona ragione per questo.