Falha de segurança revela impressões digitais de um milhão de pessoas

Dois investigadores israelitas descobriram uma base de dados desprotegida e que continha dados biométricos, nomes de utilizador, passwords e outros dados pessoais de um sistema de segurança para entrada em edifícios. Ao todo conseguiram aceder a 23 GB de informação, num total de 27,8 milhões de registos, nos quais estão incluídas as impressões digitais de mais de um milhão de pessoas.

A revelação foi feita ontem (14) pela publicação The Guardian, que teve acesso antecipado à divulgação da falha encontrada por Noam Rotem e Ran Locar. Segundo os investigadores, em causa está o acesso a uma base de dados do sistema de gestão de controlo de acessos Biostar 2, desenvolvido pela empresa Suprema.

Além das impressões digitais, a base de dados continha ainda informação de reconhecimento facial, nomes de utilizadores e passwords não encriptados, e também informações pessoais de funcionários de empresas que usam o sistema. Ainda segundo o jornal britânico, a ferramenta Biostar 2 passou em julho a estar integrada noutra plataforma de gestão de sistemas de controlo, conhecida por AEOS, que é usada por 5.700 organizações em 83 países.

O investigador diz que por terem acesso à base de dados, conseguem também mudar dados da lista e acrescentar novos utilizadores. Num cenário hipotético, seria possível os investigadores acrescentarem credenciais à lista para depois conseguirem entrar num edifício.

O caso ganha ainda mais notoriedade, por causa da gravidade do acesso a dados biométricos: enquanto uma password roubada pode depois ser alterada, o mesmo já não acontece com as impressões digitais.

Após vários contactos, os investigadores dizem não ter recebido qualquer resposta por parte da Suprema. Mas ao The Guardian, o porta-voz da empresa disse que os resultados da investigação estavam a ser analisados. “Se houve uma ameaça aos nossos produtos e/ou serviços, vamos tomar ações imediatas e fazer anúncios apropriados para proteger os negócios e ativos valiosos dos nossos clientes”, reagiu Andy Ahn, diretor de marketing da Suprema.