Peritos da empresa Vpnmentor dizem conseguir entrar em edifícios protegidos por sistemas de segurança biométricos, manipulando uma base de dados
Dois investigadores israelitas descobriram uma base de dados desprotegida e que continha dados biométricos, nomes de utilizador, passwords e outros dados pessoais de um sistema de segurança para entrada em edifícios. Ao todo conseguiram aceder a 23 GB de informação, num total de 27,8 milhões de registos, nos quais estão incluídas as impressões digitais de mais de um milhão de pessoas.
A revelação é feita nesta quarta-feira pela publicação The Guardian, que teve acesso antecipado à divulgação da falha encontrada por Noam Rotem e Ran Locar. Segundo os investigadores, em causa está o acesso a uma base de dados do sistema de gestão de controlo de acessos Biostar 2, desenvolvido pela empresa Suprema.
Além das impressões digitais, a base de dados continha ainda informação relativamente a reconhecimento facial, nomes de utilizadores e passwords não encriptados, e também informações pessoais de funcionários de empresas que usam o sistema. Ainda segundo o jornal britânico, a ferramenta Biostar 2 passou em julho a estar integrada noutra plataforma de gestão de sistemas de controlo, conhecida por AEOS, que é usada por 5.700 organizações em 83 países.
O investigador diz que por terem acesso à base de dados, conseguem também mudar dados da lista e acrescentar novos utilizadores. Num cenário hipotético, seria possível os investigadores acrescentarem credenciais à lista para depois conseguirem entrar num edifício.
O caso ganha ainda mais notoriedade, por causa da gravidade do acesso a dados biométricos: enquanto uma password roubada pode depois ser alterada, o mesmo já não acontece com as impressões digitais.
Após vários contactos, os investigadores dizem não ter recebido qualquer resposta por parte da Suprema. Mas ao The Guardian, o porta-voz da empresa disse que os resultados da investigação estavam a ser analisados. «Se houve uma ameaça aos nossos produtos e/ou serviços, vamos tomar ações imediatas e fazer anúncios apropriados para proteger os negócios e ativos valiosos dos nossos clientes», reagiu Andy Ahn, diretor de marketing da Suprema.
Fonte: EI
Sem comentários:
Enviar um comentário