Una gravissima falla ha esposto le impronte digitali di più di 1 milione di persone, nonché le password non crittografate, informazioni sul riconoscimento facciale e altri dati personali. A fare la scoperta su Biostar 2, un sistema di biometria estremamente diffuso, adottato da moltissime banche, ma anche dalla polizia britannica e da altre aziende private del settore della sicurezza., sono stati due ricercatori di sicurezza israeliani di vpmentor, Noam Rotem e Ran Locar.
Il sistema, sviluppato dall’azienda di sicurezza Suprema, utilizza le impronte digitali e la tecnologia di riconoscimento facciale per consentire alle persone l’accesso a determinati edifici. Lo scorso mese la piattaforma è stata integrata in un altro sistema di accesso, AEOS, utilizzato da 5.700 organizzazioni in 83 Paesi.
I due ricercatori israeliani si sono imbattuti nella falla durante una scansione di rete ordinaria condotta la scorsa settimana. In questo modo si sono accorti che il database di Biostar 2 era pubblicamente disponibile e che manipolando URL e criteri di ricerca erano in grado di accedere a quasi 28 milioni di record, per un totale di 23 GB di dati, comprese le impronte digitali, i dati di riconoscimento facciale, password e altre informazioni sensibili.
A quanto dichiarato da Rotem al The Guardian, la falla consentirebbe di modificare dati e aggiungere nuovi utenti, che avrebbero il permesso di aggiungere la propria impronta digitale al sistema di controllo degli accessi di qualsiasi struttura faccia uso di Biostar 2.
Secondo quanto affermato dai due esperti di sicurezza, la cosa più grave non è la vastità del database e la quantità di dati esposti, ma la natura stessa dei dati, che avrà certamente conseguenze negative in futuro, in quanto se un utente può cambiare una password non può ovviamente possibile sostituire le proprie impronte digitali.
Secondo la ricostruzione proposta dai due ricercatori il team ha anche fatto numerosi tentativi per entrare in contatto con Suprema prima di prendere la decisione di divulgare tutto attraverso la stampa, senza mai ottenere risposta. Tuttavia, il responsabile marketing di Suprema, Andy Ahn, ha dichiarato al Guardian che la società nel frattempo ha già corretto la vulnerabilità procedendo a una “valutazione approfondita” della ricerca di vpnmentor, e renderà noto al più presto la presenza di eventuali minacce per i propri clienti.
Fonte: The Guardian