Un sistema biométrico utilizado para asegurar más de 1.5 millones de ubicaciones en todo el mundo, incluidos bancos, fuerzas policiales y compañías de defensa en los Estados Unidos, el Reino Unido, la India, Japón y los Emiratos Árabes Unidos, ha sufrido una importante violación de datos, exponiendo una gran cantidad de registros.

La firma surcoreana Suprema dirige la plataforma de acceso biométrico basada en la web BioStar 2, pero dejó las huellas digitales y los datos de reconocimiento facial de más de un millón de personas expuestas en una base de datos de acceso público.

Los investigadores de privacidad Noam Rotem y Ran Locar descubrieron un total de 27.8 millones de registros con un total de 23 gigabytes de datos, incluidos nombres de usuario y contraseñas almacenados en texto sin formato.

Rotem le dijo a The Guardian que después de descubrir las contraseñas de texto sin formato de las cuentas de administrador de BioStar 2, a él y a Locar se les otorgó una cantidad de poder preocupante:

“Pudimos encontrar contraseñas de texto plano de cuentas de administrador. El acceso permite en primer lugar ver que millones de usuarios están utilizando este sistema para acceder a diferentes ubicaciones y ver en tiempo real qué usuario ingresa a qué instalación o qué habitación en cada instalación, incluso. Pudimos cambiar los datos y agregar nuevos usuarios «.

Los investigadores afirmaron que pudieron acceder a datos de ubicaciones de trabajo conjunto en Indonesia y Estados Unidos, un proveedor de medicamentos con sede en el Reino Unido, una cadena de gimnasios en India y Sri Lanka, y un desarrollador de espacios de estacionamiento finlandés, entre otros.

Quizás lo más preocupante de todo, sin embargo, fue que era posible acceder a más de un millón de huellas dactilares sin cifrar y registros biométricos faciales (en lugar de versiones con hash que no se pueden realizar ingeniería inversa).

La razón por la cual una violación de datos que involucra datos biométricos es peor que una que contiene solo contraseñas es que puede cambiar su contraseña o código PIN. ¿Tus huellas digitales? ¿Tu cara? Estás atrapado con ellos de por vida. Buena suerte cambiándolos cada vez que se violan sus datos biométricos.

Tim Erlin, vicepresidente de gestión y estrategia de productos en Tripwire, comentó:

“Como industria, hemos aprendido muchas lecciones sobre cómo almacenar de forma segura los datos de autenticación a lo largo de los años. En muchos casos, todavía estamos aprendiendo y volviendo a aprender esas lecciones. Desafortunadamente, las empresas no pueden enviar un correo electrónico de reinicio para las huellas digitales. El beneficio y la desventaja de los datos biométricos es que no se pueden cambiar «.

“El uso de múltiples factores para la autenticación ayuda a mitigar este tipo de infracciones. Mientras no pueda acceder a un sistema o edificio con un solo factor, entonces el compromiso de mi contraseña, tarjeta clave o huella digital no compromete todo el sistema. Por supuesto, si estos factores se almacenan o pueden modificarse desde un solo sistema, queda un solo punto de falla «.

Erlin tiene razón al plantear preocupaciones de que las lecciones no parecen haberse aprendido.

En 2015, por ejemplo, describí cómo los piratas informáticos habían violado los sistemas de la Oficina de Administración de Personal (OPM) en un hack de alto perfil que vio robar aproximadamente 5.6 millones de huellas digitales , junto con números de seguridad social, direcciones y otra información personal.

Todas las organizaciones deben tener mucho cuidado con la información biométrica que pueden estar almacenando sobre sus clientes y empleados, y asegurarse de que las posibilidades de que los datos confidenciales caigan en manos de los piratas informáticos se minimizan o, mejor aún, se erradican.

La base de datos BioStar 2 de Suprema ahora se ha protegido correctamente y ya no es de acceso público.

Sin embargo, Suprema suena un poco menos que interesada en informar a los clientes sobre la violación de seguridad. El jefe de marketing de la compañía, Andy Ahn, dice que Suprema llevará a cabo una «evaluación en profundidad» de los hallazgos de los investigadores antes de tomar una decisión.

«Si ha habido una amenaza definitiva en nuestros productos y / o servicios, tomaremos medidas inmediatas y haremos los anuncios apropiados para proteger los valiosos negocios y activos de nuestros clientes», dijo Ahn en el artículo de The Guardian .

Afortunadamente, por el momento no hay indicios de que los delincuentes hayan podido acceder a los datos altamente confidenciales.

Sin embargo, es comprensible que todavía haya preocupaciones de que si hubieran logrado robar los datos expuestos, podrían usarse para actividades delictivas y fraudes, o incluso para obtener acceso a edificios comerciales supuestamente seguros.