Filtración de Biostar 2 expone millones de registros de reconocimiento facial y huellas dactilares

Un equipo de investigadores ha descubierto una filtración masiva de datos de la compañía Biostar 2 Biometrics, que incluye datos de reconocimiento facial, huellas dactilares, contraseñas sin cifrar y datos personales de un millón de personas.

Biostar, que depende de la empresa de seguridad Suprema, se enfoca en ofrecer sistemas de seguridad biométricos que verifican la identidad de los visitantes a edificios de acceso restringido. Biostar 2 utiliza sistemas de reconocimiento facial y de lectura de huellas dactilares que almacena en bases de datos como las que quedaron expuestas en la red.

Los investigadores de seguridad biométrica Noam Rotem y Ran Locar, que trabajan con la compañía VPNMentor, descubrieron los datos mientras realizaban un proyecto en el que escaneaban puertos en busca de bloques de IP reconocidas que después usaban para encontrar fallas de seguridad y filtraciones de datos.

Los investigadores afirman que las bases de datos expuestas contienen “casi cada tipo de dato privado que existe” e incluyen alrededor de 27,8 millones de registros con 23 GB de datos: 1 millón de huellas dactilares, imágenes de reconocimiento facial, acceso a paneles de control y herramientas de administración y gestión, permisos de entrada y salida a sectores protegidos y registros de acceso de los empleados. “El acceso a estos datos permite ver a los millones de usuarios que están usando este sistema y hacer un seguimiento en tiempo real de qué usuario ingresa a qué edificio y hasta a qué habitación”, dijeron los investigadores.

Además, los datos filtrados incluían nombres de usuario y contraseñas sin cifrar o con protecciones muy básicas. “Una de las cuestiones más sorprendentes de esta filtración es lo inseguras que estaban las contraseñas de las cuentas a las que accedimos”, dijeron los investigadores. “Muchas de ellas tenían contraseñas extremadamente simples, como ‘Password’y ‘abcd1234′”. Más preocupante aún es que hasta las contraseñas más complejas podían exponer las cuentas con facilidad porque se almacenaban en texto simple y eran legibles para quien encontrara la base de datos.

La filtración se descubrió el 5 de agosto y los datos se protegieron el 13 del mismo mes. No se sabe cuánto tiempo estuvo disponible ni si algún cibercriminal los descubrió antes que los profesionales de seguridad. “Estos datos podrían usarse en una gran cantidad de actividades criminales que causarían estragos tanto a las compañías y organizaciones afectadas como a sus empleados y clientes”, opinaron los expertos de VPNMentor.

Biostar y Suprema dijeron que están tomando el tema “con mucha seriedad” y que las investigaciones siguen en curso: “[Suprema] está investigando las alegaciones de la prensa y cooperará con las organizaciones o individuos que haga falta”, dijo la compañía a la BBC. “En esta etapa no podemos hacer más comentarios al respecto pero, si es necesario, publicaremos un anuncio de presa más adelante con las correcciones de cualquier aseveración errada”.

Fuentes
BioStar 2 Leak Exposes 23GB Data, 1M Fingerprints • DarkReading
Biostar security software ‘leaked a million fingerprints’ • BBC News
Major breach found in biometrics system used by banks, UK police and defence firms • The Guardian