Informe: incompliment de dades a la plataforma de seguretat biomètrica que afecta milions de usuaris


Els investigadors Noam Rotem i Ran Locar, equip de vpnMentor han descobert recentment un enorme incompliment de dades a la plataforma de seguretat BioStar 2.  

BioStar 2 és basat en la web plataforma de bloqueig intel·ligent de seguretat biomètrica. Una aplicació centralitzada, permet als administradors controlar l’accés a zones segures de les instal·lacions, gestionar els permisos d’usuari, integrar-se amb aplicacions de seguretat de tercers i registrar registres d’activitats. 

Com a part del programari biomètric, BioStar 2 utilitza reconeixement facial i tecnologia d’empremtes dactilars per identificar usuaris.

L’aplicació és construït per Suprema, un dels 50 principals fabricants de seguretat del món, amb la quota de mercat més elevada en control d’accés biomètric a la regió EMEA. Suprema es va associar recentment amb Nedap per integrar BioStar 2 al seu sistema de control d’accés AEOS. 

AEOS és utilitzat per més de 5.700 organitzacions de 83 països, incloses algunes de les majors empreses multinacionals, moltes petites empreses locals, governs, bancs i, fins i tot, la Policia Metropolitana del Regne Unit.. 

Les dades filtrades en la violació són de caràcter altament sensible. Inclou detallats informació personal dels empleats i noms d’usuari i contrasenyes no xifrats, permetent que els pirates informàtics tinguin accés als comptes dels usuaris i als permisos de les instal·lacions mitjançant BioStar 2. Els agents maliciosos podrien utilitzar-ho piratejar instal·lacions segures i manipular els seus protocols de seguretat per a activitats criminals. 

Es tracta d’una enorme filtració que posa en perill tant les empreses i organitzacions implicades, com els seus empleats. El nostre equip ha pogut accedir a més d’un milió de registres d’empremtes dactilars, així com informació de reconeixement facial. Combinat amb les dades personals, els noms d’usuari i les contrasenyes, el potencial d’activitat criminal i frau és massiu. 

Un cop robada, la informació d’empremtes dactilars i de reconeixement facial no es pot recuperar. Un individu es veurà potencialment afectat durant la resta de la seva vida. 

Cronologia del descobriment i la reacció del propietari

Després de descobrir l’incompliment a la base de dades de BioStar 2, nosaltres es va posar en contacte amb l’empresa alertant-los de les nostres troballes.

malgrat això, trobem BioStar 2 generalment molt poc cooperatiu durant tot aquest procés. El nostre equip va fer nombrosos intents de contactar amb l’empresa per correu electrònic, per a res. Al final, vam decidir dirigir-nos per telèfon a les oficines del BioStar 2. De nou, l’empresa era en gran part, sense resposta. 

En parlar amb un membre del seu equip alemany, vam rebre una resposta malhumorada que “No parlem amb vpnMentor”, abans que el telèfon quedés de sobte penjat. Això suggereix que ho eren coneixent-nos i els nostres intents per resoldre el problema.

També vam intentar contactar amb l’oficial de compliment GDPR de BioStar 2, però no vam rebre cap resposta. 

Finalment, després d’haver parlat per telèfon a la sucursal francesa més cooperativa, l’empresa va prendre mesures per tancar l’incompliment. 

  • Data de descobriment: 5 d’agost de 2019
  • Data de contacte amb els venedors: 7 d’agost de 2019
  • Data d’acció: El 13 d’agost, l’incompliment es va tancar

Exemple d’entrades a la base de dades

Com a solució de seguretat centralitzada, La base de dades de BioStar 2 contenia gairebé tot tipus de dades sensibles disponibles. 

Biostar-2-AeroportAixò podria ser s’utilitza en una àmplia gamma d’activitats criminals això seria desastrós tant per a les empreses i organitzacions afectades, com per als seus empleats o clients. 

El nostre equip era capaç d’accedir a més de 27,8 milions de registres, un total de 23 gegabytes de dades, que incloïa la informació següent:

  • Accés als panells d’administració del client, taulers de control, controls posteriors i permisos 
  • Dades d’empremtes digitals 
  • Informació de reconeixement facial i imatges dels usuaris
  • Nom d’usuari, contrasenyes i identificadors d’usuari no xifrats
  • Registres d’entrada i sortida a zones segures
  • Registres d’empleats incloses les dates d’inici
  • Nivells i autoritzacions de seguretat dels empleats
  • Dades personals, incloses l’adreça de casa i els correus electrònics dels empleats
  • Estructures i jerarquies d’empleats de les empreses
  • Informació sobre dispositius mòbils i sistema operatiu

Un dels aspectes més sorprenents d’aquesta filtració va ser quina seguretat no tenien de la contrasenya del compte a la qual vam accedir. Molts de comptes tenien contrasenyes ridículament simples, com ara “Contrasenya” i “abcd1234”. És difícil imaginar que la gent encara no se n’adona què tan fàcil és que un hacker accedeixi al seu compte. 

Biostar-2-Easy-PWÉs clar, molts usuaris han creat contrasenyes més complicades i efectives que normalment seria difícil de descobrir o desxifrar. malgrat això, fàcilment vam poder veure les contrasenyes a la base de dades BioStar 2, ja que es van emmagatzemar com a fitxers de text senzill, en comptes de ser segurs.

Biostar2-KibanaEl ventall de negocis afectats per la filtració va variar àmpliament en mida, ubicació, indústria i usuaris. Alguns exemples d’empreses a les quals vam poder accedir i visualitzar la informació a tot el món inclouen:

EUA

  • Union Member House – Espai de treball i club social amb 7.000 usuaris.
  • Lits Link: consultoria en desenvolupament de programari.
  • Phoenix Medical: fabricant de productes mèdics.

Indonèsia

  • Uptown – Espai de treball basat en Jakarta amb 123 usuaris.

Índia i Sri Lanka

  • Power World Gimnasos: franquícia de gimnàstica d’alta classe amb sucursals a tots dos països. Vam accedir a 113.796 registres d’usuaris i les seves empremtes dactilars.

Regne Unit

  • Recursos relacionats amb polímers: especialistes en reciclatge de plàstics.
  • Tile Mountain: proveïdor de decoració i bricolatge per a la llar.  
  • Farla Medical: botiga de subministraments mèdics.

Emirats Àrabs Units

  • Global Village: un festival cultural anual, amb accés a 15.000 empremtes dactilars.
  • IFFCO – Grup de productes alimentaris de gran consum.

Finlàndia

  • Euro Park: desenvolupador d’espais d’aparcament per a cotxes amb llocs a tot Finlàndia. 

Turquia

  • Ostim: promotor de construcció de zones industrials.   

Japó

  • Inspired.Lab – Espai de coworking i disseny a la ciutat de Chiyoda, Tòquio.  

Bèlgica

  • Personal Adecco: hem trobat aproximadament 2.000 empremtes relacionades amb la plantilla i el gegant de recursos humans.

Alemanya

  • Identbase: a la base de dades exposada també es van trobar dades pertanyents a aquest proveïdor d’identificació comercial i tecnologia d’impressió de targetes d’accés.

Pot ser la major preocupació per aquesta filtració és la seva mida. Els usuaris de BioStar 2 estan repartits arreu del món, amb possibles futurs usuaris, inclosos governs, bancs, universitats, contractistes de defensa, policia i empreses multinacionals.. 

La plataforma compta amb més d’1,5 milions d’instal·lacions mundials i totes aquestes podrien ser vulnerables a aquesta fuga. El nombre total d’afectats podria situar-se en desenes de milions. 

Impacte de la incomplicació de dades

La informació sobre el reconeixement facial i les empremtes dactilars no es poden canviar. Un cop robats, no es pot desfer. La manera no segura de què BioStar 2 emmagatzema aquesta informació és preocupant, tenint en compte la seva importància i el fet que BioStar 2 sigui construït per una companyia de seguretat. 

En comptes de desar un hash de l’empremta dactilar (que no pot ser dissenyat inversament) estalvien les empremtes digitals reals de la gent que es poden copiar amb finalitats malicioses.

Combinant totes les dades que es troben a la fuita, els delinqüents de tot tipus podrien utilitzar aquesta informació per a diverses activitats il·legals i perilloses.

Adquisicions de comptes i incompliments de seguretat

Amb aquesta filtració, criminal Els pirates informàtics tenen accés complet als comptes d’administració de BioStar 2. Poden fer-ho servir per controlar un compte d’alt nivell amb permisos i usuaris complets de permisos de seguretat i feu canvis a la configuració de seguretat de tota la xarxa. 

No només poden canviar els permisos d’usuari i bloquejar la gent fora de determinades zones, sinó que també poden fer-ho crear nous comptes d’usuari (completats amb reconeixement facial i empremtes dactilars) per donar-los accés per assegurar zones dins d’un edifici o instal·lació. 

A més, els pirates informàtics poden canviar les empremtes dels comptes existents als seus i segrestar un compte d’usuari per accedir a àrees restringides no detectades. Els pirates informàtics i altres delinqüents podrien ser potencialment possibles crear biblioteques d’empremtes que s’utilitzin en qualsevol moment volen entrar en algun lloc sense ser detectats. 

Això proporciona un pirata informàtic i el seu equip accés obert a totes les àrees restringides protegides amb BioStar 2. També tenen accés als registres d’activitats, així que poden eliminar o alterar les dades per ocultar les seves activitats. 

Com a resultat, Tota la infraestructura de seguretat d’un edifici piratejat esdevé inútil. Qualsevol persona que tingui aquestes dades tindrà lliure circulació per anar a qualsevol lloc que triï, sense ser detectada.

Robatori i fraus

El perill més evident de proporcionar un pirata informàtic o criminal a un edifici segur és el robatori. Ells poden utilitzeu aquesta base de dades per literalment entrar a una habitació i prendre qualsevol cosa de valor.

Això és cert, independentment de la naturalesa de l’edifici, ja sigui un gimnàs de ciutat petita o una oficina governamental. 

La filtració també dóna als pirates informàtics accés a xarxes altament tancades que potser no podrien arribar des de fora d’un edifici. Amb això, poden robar informació valuosa, virus vegetals, supervisar i explotar sistemes i molt més. 

Robatori i frau d’identitat

La fuita BioStar 2 contenida una gran quantitat de dades personals a part dels noms, les empremtes dactilars i les imatges dels usuaris. Això inclou registres d’ocupació, adreces de correu electrònic i adreces domèstiques. 

A banda de les preocupacions de seguretat de les empreses afectades, ara hi poden haver empleats i clients orientat a fraus i altres delictes.

També es poden utilitzar les mateixes dades personals elaborar campanyes de phishing efectives. Una campanya de pesca és el ús de correus electrònics d’imitació per enganyar les víctimes fent clic a un enllaç incrustat amb programari maliciós o a proporcionar informació que es pugui utilitzar per robar-los. Amb els detalls personals i professionals disponibles en aquesta fuga, no seria difícil crear campanyes de pesca efectiva.

Les dades del BioStar 2 proporcionen cibercriminals una base sòlida per explotar els usuaris per obtenir guanys financers il·legals. També poden ven la informació (incloses les empremtes dactilars) a la web fosca a altres delinqüents o agents malintencionats. Això podria conduir moltes activitats incriminables que es poden realitzar i que es fan amb les dades d’innocents usuaris de BioStar 2. 

Xantatge i extorsió

Dirigir a determinats empleats xantatge o extorsió basats en els seus permisos d’accés en un negoci és una tàctica popular que utilitzen els delinqüents de tot el món. Permet a un pirata informàtic accedeix a informació o béns valuosos sense posar-se en perill físic. 

El incompliment La base de dades de BioStar 2 permet als pirates informàtics visualitzar les autoritzacions de seguretat individuals dins d’una organització i orientar a persones d’alt nivell per fer xantatge i extorsió en base a això. 

Utilitzant les dades personals disponibles, poden fer molt efectives les seves amenaces accedint a informació privada i explotar vulnerabilitats personals com les relacions familiars. Això posa els empleats dels clients de BioStar 2 afectats corren un gran perill potencial.  

Ús de les empremtes digitals robades

L’ús de la seguretat biomètrica com a empremtes dactilars és un desenvolupament recent. Com a tal, encara no se sap el perill potencial que es pot robar les empremtes dactilars. 

Tot i això, l’important a recordar és que un cop robades, a diferència de les contrasenyes, la vostra empremta digital no es podrà canviar. 

Això fa que el robatori de dades d’empremtes digitals sigui encara més rellevant. Les empremtes dactilars estan substituint les contrasenyes tipificades en molts articles de consum, com els telèfons. La majoria dels escàners d’empremtes digitals dels béns de consum no estan xifrats, així quan un pirata informàtic desenvolupi la seva tecnologia per replicar la seva empremta digital accedeix a tota la informació privada com ara missatges, fotos i mètodes de pagament emmagatzemats al dispositiu. 

Aquest és només un problema potencial de molts. 

Per a BioStar 2, un dels problemes més importants ara mateix és la reputació. Ens preocupa que una empresa de seguretat no hagi pogut protegir totalment els seus clients.

En mans de pirates informàtics criminals, totes aquestes dades totes podrien haver estat descarregades i guardades per a un ús posterior en diversos crims. 

Assessorament dels experts

Aquesta fuita s’hauria pogut evitar fàcilment, Els fabricants de BioStar 2 van prendre algunes precaucions bàsiques de seguretat. Mentre la informació que vam trobar podria haver-la arribat a mans dels pirates informàtics criminals, us proposem el següent BioStar 2 i Suprema:

  1. Assegureu els servidors amb millors mesures de protecció.
  2. No estalvieu les empremtes digitals dels usuaris. Desa una versió de hash que no pot ser dissenyada inversament. 
  3. Implementa unes regles d’accés adequades a les bases de dades.
  4. No deixeu mai un sistema que no requereixi autenticació oberta a Internet.

En lloc de desar un hash de l’empremta dactilar (que no es pot generar inversament), s’estan desant l’empremta digital que es pot utilitzar per crear una còpia amb finalitats malicioses.

Assessorament als clients de BioStar 2

Si la vostra empresa o organització utilitza BioStar 2 i estàs preocupat per haver estat afectat per aquest incompliment de dades, et suggerim contacteu amb Suprema per obtenir més detalls. 

També suggerim canviarà immediatament la contrasenya al vostre tauler de control BioStar 2 i notificant al personal que canviï les seves contrasenyes personals.

A més, recomanem crear una guia o compartir eines amb el vostre personal per ajudar-los a generar contrasenyes segures. Hi ha molts comptadors de contrasenyes en línia disponibles per garantir que estiguin millor protegits.

Per obtenir una guia detallada sobre com protegir el vostre negoci en línia, consulteu com protegir el vostre lloc web i la base de dades en línia dels pirates informàtics.

Assessorament als usuaris 

Si el vostre empresari o la vostra empresa és client, utilitza BioStar 2, és possible que s’hagi filtrat la informació personal, les empremtes dactilars i el reconeixement facial.

Hauríeu d’informar les vostres preocupacions a l’empresa o a l’empresari i assegurar-vos que tingueren coneixement de les fuites de dades. 

Si us preocupa la vulnerabilitat de les dades en general, llegiu la nostra guia completa sobre privadesa en línia. Us mostra les maneres en què us poden orientar els ciberdelinqüents i els passos que podeu fer per mantenir-vos fora de perill. 

Com i per què vam descobrir l’incompliment

L’equip d’investigació de vpnMentor va trobar l’incompliment a través d’un un gran projecte de mapeig web. Dirigit per Noam i Ran, l’equip escaneja els ports que busquen blocs IP familiars. Utilitzen aquests blocs per trobar forats al sistema web d’una empresa. Un cop trobats aquests forats, l’equip busca vulnerabilitats que els portin a un incompliment de dades.

L’equip va descobrir que grans parts de la base de dades de BioStar 2 estan desprotegides i majoritàriament no xifrades. La companyia utilitza una base de dades Elasticsearch, que normalment no està dissenyada per a l’ús de la URL. Tot i això, vam poder accedir-hi a través del navegador i manipular els criteris de cerca d’URL per exposar quantitats ingents de dades. 

També utilitzant els seus coneixements va examinar la base de dades per confirmar la seva identitat.

Com a pirates informàtics ètics, estem obligats a adreçar-nos als llocs web quan descobrim defectes de seguretat. Això és especialment cert quan l’incompliment de dades d’una empresa afecta tantes persones i conté dades sensibles.

Tanmateix, aquesta ètica també significa portem una responsabilitat al públic. Els clients de BioStar 2 i els seus empleats han de ser conscients dels riscos que assumeixen quan utilitzen tecnologia que fa tan poc esforç per protegir els seus usuaris.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori d’investigació és un servei de promoció professional que s’esforça a ajudar la comunitat en línia a defensar-se de les amenaces cibernèriques alhora que educa les organitzacions a protegir les dades dels seus usuaris..

Recentment hem descobert un enorme incompliment de dades que afectava a 80 milions de llars nord-americanes. També vam revelar que Gearbest va experimentar un incompliment massiu de dades. També pot ser que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.

Per favor comparteix aquest informe a Facebook o tuiteu-lo.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map