Empresa deixa dados de reconhecimento facial e de digitais expostos na web
O site vpnMentor encontrou um servidor de banco de dados exposto na internet contendo 27,8 milhões de registros, entre os quais estavam as informações referentes ao reconhecimento de digitais de mais de um milhão de pessoas. O site também trazia informações pessoais, e-mails e credenciais de acesso, inclusive senhas desprotegidas. A descoberta ocorreu em colaboração com os especialistas Noam Rotem e Ran Locar.
O servidor era de responsabilidade da Suprema, uma empresa especializada em sistemas de segurança e controle de acesso com travas eletrônicas. Segundo dados da própria empresa, seus sistemas foram instalados em mais de 1,5 milhão de locais no mundo. Os dados vazados pertenciam ao sistema BioStar 2.
A tecnologia da Suprema é utilizada por várias organizações e entidades do governo, como a Polícia Metropolitana do Reino Unido e empresas da indústria da saúde. Procurada, a Suprema não enviou posição oficial sobre o caso. A Suprema informou ao jornal “The Guardian” que conduziu uma avaliação aprofundada do caso e que notificaria seus consumidores caso encontrasse uma “ameaça clara”. Segundo a vpnMentor, a empresa inicialmente não demonstrou interesse em resolver o problema e foram necessários diversos contatos, com escritórios em vários países, até a companhia fechar o acesso aos dados expostos.
No total ficaram expostos 23 gigabytes de dados. No total, ficaram expostos 23 gigabytes de informações, incluindo senhas, dados de permissões de acessos, registros de entrada e saída dos ambientes, informações sobre funcionários e dados de autenticação, incluindo fotos e dados referentes a reconhecimento facial e de digital. O vpnMentor informou que as digitais eram armazenadas na íntegra, sem nenhum tipo de proteção ou representação matemática, o que permite duplicar ou falsificar essas digitais.
Os especialistas lembram que, diferente das senhas, não é possível modificar uma digital roubada, o que a torna permanentemente insegura. O vpnMentor recomendou que clientes da Suprema troquem suas senhas e entrem em contato com a companhia para ter mais informações. Embora o banco de dados tenha sido descoberto por especialistas que relataram o problema à empresa, é possível que as informações tenham sido copiadas por criminosos antes do acesso ser fechado.
