Investigadores asociados con
vpnMentor, que proporciona revisiones de redes privadas virtuales, informó el miércoles de una violación de datos que involucra a casi 28 millones de registros en una base de datos de seguridad biométrica BioStar 2 perteneciente a
Suprema.
"La base de datos de BioStar 2 se dejó abierta, desprotegida y sin cifrar", dijo vpnMentor en un correo electrónico proporcionado a TechNewsWorld por un empleado de la compañía que se identificó como "Guy".
"Después de comunicarnos con ellos, pudieron cerrar la fuga", dijo vpnMentor.
BioStar 2 es la plataforma de seguridad integrada, abierta e integrada de Suprema.
La fuga se descubrió el 5 de agosto y vpnMentor contactó a Suprema el 7 de agosto. La fuga se cerró el 13 de agosto.
Lo que se tomó
El equipo de vpnMentor obtuvo acceso a paneles de administración de clientes, tableros, controles de back-end y permisos, que finalmente expusieron 23 GB de registros:
- Datos de huellas digitales;
- Información de reconocimiento facial e imágenes de usuarios;
- Nombres de usuario, contraseñas e ID de usuario sin cifrar;
- Registros de entrada y salida a áreas seguras;
- Registros de empleados, incluidas las fechas de inicio;
- Niveles de seguridad y autorizaciones de los empleados;
- Datos personales, incluida la dirección del domicilio del empleado y correos electrónicos;
- Estructuras y jerarquías de empleados de empresas; y
- Dispositivo móvil e información del sistema operativo.
El equipo pudo acceder a información de una variedad de empresas en todo el mundo:
- Organizaciones con sede en Estados Unidos Union Member House, Lits Link y Phoenix Medical;
- Recursos de polímeros asociados con sede en el Reino Unido, Tile Mountain y Farla Medical;
- Euro Park de Finlandia;
- Japan's Inspired.Lab;
- Adecco Staffing de Bélgica; y
- Identbase.de de Alemania.
Los datos que vpnMentor encontró expuestos habrían dado a los delincuentes que pudieran haberlo adquirido acceso completo a las cuentas de administrador en BioStar 2. Eso permitiría a los delincuentes hacerse cargo de cuentas de alto nivel con permisos de usuario completos y autorizaciones de seguridad; realizar cambios en la configuración de seguridad en toda la red; y cree nuevas cuentas de usuario, completas con reconocimiento facial y huellas digitales, para obtener acceso a áreas seguras.
Los datos en cuestión también permitirían a los piratas informáticos secuestrar cuentas de usuarios y cambiar los datos biométricos en ellas para acceder a áreas restringidas. Tendrían acceso a los registros de actividades, por lo que sus actividades podrían ocultarse o eliminarse. Los datos robados permitirían campañas de phishing dirigidas a personas de alto nivel y facilitarían el phishing.
"No hay mucho que un consumidor pueda hacer aquí, ya que realmente no se pueden cambiar las huellas digitales o la estructura facial", observó Robert Capps, estratega de autenticación de
NuData Security, una empresa Mastercard.
Sin embargo, un ladrón de datos requeriría acceso al dispositivo del consumidor para cometer fraude de autenticación biométrica a ese nivel.
"Los datos no son gratuitos", señaló Colin Bastable, CEO de
Lucy Security.
"Hay una responsabilidad que conlleva capturarlo. Si no puede pagarlo, no lo guarde", dijo a TechNewsWorld.
El cuidado y la alimentación de contraseñas
Muchas de las cuentas tenían contraseñas simples como "contraseña" y "abcd1234", señaló vpnMentor.
"No veo ninguna excusa para usar tales contraseñas para aplicaciones del mundo real", dijo Bastable.
Aún así, "estas son contraseñas comunes que todavía usan los consumidores hoy en día", dijo Capps a TechNewsWorld. "También es posible que se trate de contraseñas predeterminadas establecidas cuando se creó la cuenta, pero que nunca cambiaron".
Usar contraseñas simples para cualquier propósito es "una idea increíblemente mala", dijo Capps. "Es una buena práctica crear una contraseña compleja que sea memorable, o usar un administrador de contraseñas para crear contraseñas altamente complejas que sean exclusivas de una sola cuenta".
Las mejores prácticas y estándares para el almacenamiento seguro de contraseñas "han estado disponibles durante décadas", señaló.
El equip o de vpnMentor fácilmente vio contraseñas más complicadas que se usan con otras cuentas en la base de datos BioStar 2, porque se almacenaron como archivos de texto sin formato en lugar de hash de forma segura.
"Si (esto) es real, entonces es una falla fundamental de la práctica de seguridad", dijo Bastable. "No es que el cifrado sea un arte perdido o terriblemente costoso".
Las contraseñas nunca deben almacenarse como texto sin formato, advirtió Capps. Incluso las contraseñas hash pueden ser un problema si se utiliza un algoritmo débil o una contraseña corta.
"Muchos algoritmos de hash más débiles han tenido 'tablas de arcoíris', resultados de hash precalculados para cadenas de texto simples, que permiten que la contraseña hash se asigne de nuevo a su formato de texto claro", explicó. "Esto permite una recuperación simple de algunos datos hash".
El peligro mayor
Suprema esta primavera
anunció la integración de su solución BioStar 2 con el sistema de control de acceso AEOS de Nedap.
Más de 5,700 organizaciones en 83 países usan AEOS. Esas entidades incluyen empresas, gobiernos, bancos y la policía metropolitana del Reino Unido.
La integración es tan fluida que los operadores pueden continuar trabajando en AEOS para administrar la inscripción de dedos y las identidades biométricas sin cambiar de pantalla. Los perfiles biométricos se almacenan en BioStar y se sincronizan con AEOS constantemente. Los certificados SSL protegen la sincronización.
Los clientes de Nedap y Suprema se enfrentan a una variedad excepcional de requisitos de seguridad.
"Esto puede hacer que la implementación del proyecto sea de naturaleza compleja. El objetivo principal de esta integración siempre ha sido proporcionar una solución verdaderamente flexible y escalable que sea fácil de implementar y mantener", observó Ruben Brinkman, gerente de alianza en Nedcap.
"Esto apunta a un problema importante. La conveniencia a menudo se logra a un costo alto pero oculto en términos de seguridad comprometida", dijo Bastable. "Cuando se integra a la perfección con otra tecnología, adopta sus prácticas de seguridad y las transmite a sus clientes".
Los primeros proyectos que incorporan las tecnologías de ambas empresas están en proceso.
"En general, la verificación biométrica sigue siendo efectiva y segura", señaló Capps de NuData. "Las implementaciones individuales pueden ser sospechosas, dependiendo de la sofisticación, la perspicacia de seguridad y los diseños prospectivos implementados".
Sistemas biométricos y seguridad
"Lamentablemente, se supone que las compañías de seguridad que ofrecen tecnologías (biométricas) son en sí mismas modelos de virtud de seguridad", dijo Bastable de Lucy Security.
"Haga las preguntas difíciles sobre la seguridad de sus datos. No confíe, pero verifique, porque su propia seguridad depende de sus proveedores y socios externos", aconsejó.
"Cifrar", agregó Bastable. "Utilice la seguridad de la clave de hardware. Tokenización. Tenga una política sólida, pruébela y no permita que los superusuarios puedan abusar de su acceso".