Brecha em sistema de segurança expõe impressões digitais de 1 milhão de pessoas
Segundo o The Guardian, a brecha já foi corrigida, mas expôs os registros de reconhecimento facial, além de nomes de usuários e senhas não criptografadas. Os dados são mantidos pela Suprema, uma empresa que oferece um sistema biométrico de segurança.
Batizado de Biostar 2, ele usa impressões digitais e reconhecimento facial para liberar acesso a áreas como escritórios e depósitos. Em julho, a Suprema anunciou a integração do Biostar 2 com o AEOS, outro sistema usado por 5,7 mil organizações, incluindo governos, bancos e a polícia de Londres.
A brecha foi descoberta pelos pesquisadores em segurança Noam Rotem e Ran Locar, em conjunto com o vpnMentor, um site que avalia serviços de VPN. Em um projeto paralelo, eles verificaram portas em blocos de IP conhecidos para encontrar possíveis falhas em sistemas de empresas.
No caso da Suprema, eles conseguiram acessar o banco de dados por um navegador e manipular a URL para visualizar ainda mais informações. Eles identificaram registros de empresas em países como Estados Unidos, Reino Unido, Japão, Alemanha e Índia.
Os pesquisadores contabilizaram 27,8 milhões de registros, o equivalente a 23 GB de dados. Isso inclui impressões digitais, reconhecimento facial, fotos, nomes de usuário e senhas, registros de acesso e informações sobre níveis de segurança.
A vulnerabilidade era tanta que eles poderiam adicionar usuários ao banco de dados, o que permitiria o acesso de pessoas não autorizadas às instalações das empresas. O chefe de marketing da Suprema, Andy Ahn, afirmou ao Guardian que a empresa iniciou uma “avaliação profunda” e informará seus clientes caso seja necessário.
“Se houver qualquer ameaça definitiva em nossos produtos e/ou serviços, tomaremos medidas imediatas e faremos anúncios apropriados para proteger os valiosos negócios e ativos de nossos clientes”, afirmou.