Suprema Biostar 2 expôs milhões de impressões digitais, rostos e senhas
A biometria, geralmente impressões digitais ou faces, é frequentemente apresentada como formas mais seguras de autenticação ou, pelo menos, autenticação de segundo fator. Mas e se esses mesmos dados forem comprometidos? E se aconteceu por negligência da empresa de segurança, cujo negócio é ajudar a proteger pessoas em todo o mundo? Essa é a realidade de pesadelo do que aconteceu com os clientes da plataforma de biometria Biostar 2 da Suprema na web e, por extensão, mais de 1 milhão de pessoas em todo o mundo.
O Biostar 2 pode não ser realmente um nome familiar, mas é o mesmo para o curso de terceiros. Serviços de “middleware” que muitas vezes permanecem desconhecidos. Pelo menos até que notícias como essa quebrem. A lista de clientes do Suprema, no entanto, inclui todos, desde cadeias de academias no Paquistão até a polícia metropolitana do Reino Unido, que usam o software para acesso centralizado e seguro a armazéns, prédios de escritórios e afins. Os pesquisadores de segurança israelenses Noam Rotem e Ran Locar, no entanto, descobriram que o banco de dados do Biostar 2 em si é tudo menos seguro. Não foi preciso muito trabalho para eles passarem pelo banco de dados desprotegido e não criptografado para acessar os registros e até mesmo modificar os registros existentes para roubar ou alterar a identidade de um usuário, obtendo acesso a tudo o que estiver armazenado atrás de portas físicas.
A quantidade e a variedade de dados coletados são assustadoramente surpreendentes. 27,8 milhões de registros contidos em 23 GB de dados incluíam impressões digitais e informações de reconhecimento facial em 1,5 milhão de locais em todo o mundo. E, para fazer um círculo completo, o banco de dados incluía informações pessoais, bem como senhas armazenadas em formato de texto simples para qualquer um ver.
A resposta inicial da Suprema foi, sem surpresa, o silêncio antes de fechar as portas. Espero que isso tenha acontecido antes que qualquer hacker menos consciencioso pusesse as mãos na informação. Porque, ao contrário das senhas, você não pode alterar exatamente suas impressões digitais ou seu rosto.
Via: Slash Gear
Nenhum comentário