Uma brecha na plataforma de segurança Bio Star 2 expôs milhões de registros de impressões digitais, senhas e dados de reconhecimento facial

A biometria agora é usada para proteger os ativos físicos e digitais, e há uma boa razão para isso. Autenticar usuários com a ajuda de leitores de impressão digital ou sistemas de reconhecimento facial não é apenas mais rápido e conveniente, mas também é um pouco mais seguro do que as alternativas. Os dados biométricos também podem facilitar para administradores e equipes de segurança de grandes organizações a configuração de políticas de controle de acesso e garantir que tudo seja registrado corretamente.

Para todos os seus benefícios, no entanto, a biometria tem uma grande desvantagem que é frequentemente citada pelos céticos da tecnologia. É o fato de que, diferentemente das senhas, as impressões digitais e os rostos não podem ser alterados ou redefinidos. Se os dados biométricos forem expostos, são expostos de uma vez por todas e as consequências podem ser bastante severas. Um recente vazamento de dados em uma plataforma de segurança chamada Bio Star 2 nos mostrou o quão sérios eles poderiam ser.

A violação de dados do Bio Star 2 poderia ter consequências desastrosas

Aqueles de vocês que se esforçam para se manter atualizados com as novidades da indústria de segurança da informação já ouviram falar de Noam Rotem, Ran Locar e sua equipe na vpnMentor. Ao longo dos últimos meses, eles descobriram mais do que um poucos bancos de dados mal configurados e servidores que foram vazamento de toneladas de informações confidenciais. A violação do Bio Star 2, no entanto, poderia muito bem ser o incidente mais grave que eles já viram.

Mais uma vez, as informações expostas estavam em um banco de dados do Elasticsearch que não era protegido por uma senha e era acessível de qualquer lugar do mundo. Entre outras coisas, o banco de dados continha mais de um milhão de impressões digitais e fotos de usuários que usavam dispositivos de reconhecimento facial integrados ao Bio Star 2. Isso, por si só, parece ruim o suficiente, mas fica muito pior.

De acordo com Rotem e Locar, a Bio Star 2 tem mais de 1,5 milhões de instalações em todo o mundo, e sua desenvolvedora, Suprema, recentemente se associou a uma empresa de tecnologia chamada Nedap para integrar a plataforma ao sistema de controle de acesso AEOS. O AEOS é usado por cerca de 6 mil organizações, que vão desde pequenas academias até grandes agências governamentais e policiais. Os pesquisadores disseram que estimar o número exato de indivíduos afetados é difícil, mas eles apontaram que alguns dos funcionários das agências poderiam ter seus dados biométricos expostos.

Nomes de usuário, senhas e outros detalhes confidenciais também foram vazados

Infelizmente, a instalação mal configurada do Elasticsearch continha muito mais do que apenas impressões digitais e informações de reconhecimento facial. Os pesquisadores descobriram os cargos, estruturas e hierarquias dos funcionários, níveis de segurança, folgas e registros detalhando quem acessou as áreas protegidas e quando. Informações pessoais, como endereços residenciais e de e-mail, também vazaram, assim como alguns conjuntos de nomes de usuários e senhas.

Os pesquisadores não entraram em muitos detalhes sobre o que essas credenciais de login foram usadas exatamente, mas não permitiam que os cibercriminosos tivessem acesso a painéis de administração, painéis e a infraestrutura de backend de organizações que usam Bio Star 2. Embora eles deveriam proteger alguns ativos sérios, algumas das senhas encontradas por Rotem e Locar eram terrivelmente fracas. Isso, embora bastante preocupante, não é especialmente surpreendente . O que é bastante chocante, no entanto, é o fato de que as pessoas que estão desenvolvendo o Bio Star 2 realmente não fizeram o suficiente para proteger a segurança de seus clientes. E isso mesmo sem considerar o erro de configuração que deixou o banco de dados exposto.

O vazamento de dados revelou problemas de manuseio de dados do Bio Star 2

Os pesquisadores encontraram o banco de dados exposto em 5 de agosto e imediatamente começaram a contatar a Suprema e a divulgar a violação. A equipe fez "várias tentativas" para entrar em contato com os desenvolvedores por e-mail, mas depois de não receber resposta, eles pegaram o telefone e tentaram ligar para os escritórios da empresa na Alemanha. Por razões que são completamente insondáveis, os funcionários alemães da Suprema se recusaram a discutir o assunto. O vpnMentor tentou entrar em contato com a equipe francesa do desenvolvedor e, dessa vez, eles receberam um pouco mais de cooperação. Em 13 de agosto, os dados foram finalmente protegidos.

A reação do desenvolvedor certamente não foi tão boa quanto deveria ter sido, mas, infelizmente, isso está longe de ser o único problema.

Todas as credenciais de login que o Rotem e o Locar encontraram foram armazenadas em texto simples, que é praticamente a maneira mais insegura de lidar com esse tipo de dado. A situação com os registros biométricos era praticamente a mesma - a Bio Star 2 não tinha feito nada para protegê-los no caso de vazarem.

Se uma empresa é responsável por garantir a segurança de tantas organizações que, por sua vez, precisam cuidar de tantas informações importantes, esse tipo de erro é simplesmente inaceitável, e temos certeza de que alguns dos clientes da Bio Star não são responsáveis. especialmente feliz no momento. Como você pode ver, há uma boa razão para isso.