Investigadores relacionados tutor vpnLa base de datos de seguridad biométrica BioStar 2, que proporciona revisiones de redes privadas virtuales, informó el miércoles de una violación de datos que involucró a casi 28 millones de registros pertenecientes a la supremo.
«La base de datos de BioStar 2 está abierta, sin protección y sin cifrar», dijo vpnMentor en un correo electrónico proporcionado a TechNewsWorld por un empleado de la empresa que se identificó como «Guy».
«Después de que los contactamos, pudieron tapar la laguna», dijo vpnMentor.
BioStar 2 es la plataforma de seguridad abierta e integrada basada en la web de Suprema.
La vulnerabilidad se descubrió el 5 de agosto y vpnMentor contactó a Suprema el 7 de agosto. La vulnerabilidad se cerró el 13 de agosto.
lo que se toma
El equipo de vpnMentor obtuvo acceso al panel de administración del cliente, al panel de control, a los controles y permisos del backend, y finalmente expuso 23 GB de registros:
- datos de huellas dactilares;
- Información e imágenes de reconocimiento facial del usuario;
- Nombres de usuario, contraseñas e identificaciones de usuario sin cifrar;
- Registros de entrada y salida de áreas seguras;
- Registros de empleados, incluidas las fechas de inicio;
- niveles y autorizaciones de seguridad de los empleados;
- Datos personales, incluidos los domicilios y correos electrónicos del personal;
- la estructura de la fuerza laboral y la jerarquía de la empresa; y
- Información del dispositivo móvil y del sistema operativo.
El equipo tiene acceso a información de varias empresas en todo el mundo:
- las organizaciones estadounidenses Union Member House, Lits Link y Phoenix Medical;
- Associated Polymer Resources, Tile Mountain y Farla Medical en el Reino Unido;
- Europa-Park en Finlandia;
- Laboratorio inspirado en Japón;
- Dotación de personal de Adecco en Bélgica; y
- Identbase.de en Alemania.
Los datos que se descubrió que vpnMentor expuso habrían dado a cualquier delincuente que pudiera obtenerlos acceso completo a una cuenta de administrador en BioStar 2. Esto permitiría a los delincuentes hacerse cargo de cuentas avanzadas con plenos derechos de usuario y autorizaciones de seguridad, cambiar la configuración de seguridad en toda la red y crear nuevas cuentas de usuario, completas con reconocimiento facial y huellas dactilares, para obtener acceso a áreas seguras.
Los datos cuestionables también permitirían a los piratas informáticos secuestrar cuentas de usuario y cambiar los datos biométricos dentro de ellas para obtener acceso a áreas restringidas. Tienen acceso a los registros de actividad, por lo que su actividad se puede ocultar o eliminar. Los datos robados permitirían campañas de phishing dirigidas a personas de alto nivel y facilitarían el phishing.
«Los consumidores no pueden hacer mucho aquí porque realmente no pueden cambiar sus huellas dactilares o la estructura facial». Seguridad de datosuna empresa de MasterCard.
Sin embargo, los ladrones de datos necesitarían acceder al dispositivo de un consumidor para cometer un fraude de autenticación biométrica a ese nivel.
“Los datos no son gratis”, dice el CEO de la compañía, Colin Bastable lucy segura.
«Capturarlo es una responsabilidad. Si no puede pagarlo, no lo conserve», dijo a TechNewsWorld.
Mantenimiento y provisión de contraseñas
vpnMentor señala que muchas cuentas tienen contraseñas simples como «contraseña» y «abcd1234».
«No veo ninguna razón para usar tales cifrados en aplicaciones reales», dijo Bastable.
Sin embargo, «estas son contraseñas comunes que los consumidores todavía usan hoy en día», dijo Capps a TechNewsWorld. «También es posible que estas fueran contraseñas predeterminadas que se establecieron cuando se creó la cuenta y nunca se cambiaron».
Usar contraseñas simples para cualquier propósito es «una idea realmente mala», dijo Capps. «La mejor práctica es crear una contraseña compleja que sea fácil de recordar, o usar un administrador de contraseñas para crear contraseñas altamente complejas que sean únicas para una sola cuenta».
Las mejores prácticas y estándares para el almacenamiento seguro de contraseñas «han existido durante décadas», señaló.
El equipo de vpnMentor pudo ver fácilmente contraseñas más complejas utilizadas por otras cuentas en la base de datos de BioStar 2 porque se almacenaron como archivos de texto sin formato en lugar de cifradas de forma segura.
«si [this] es cierto, entonces es una falla fundamental de las prácticas de seguridad”, dijo Bastable. “No es que el cifrado sea un arte perdido o terriblemente costoso. «
Capps advierte que las contraseñas nunca deben almacenarse en texto sin formato. Incluso las contraseñas codificadas pueden ser un problema si se utilizan algoritmos débiles o contraseñas cortas.
«Muchos algoritmos hash más débiles tienen ‘tablas de arcoíris’ (resultados hash precalculados de cadenas de texto simples) que permiten que las contraseñas hash se vuelvan a asignar a su forma de texto sin formato», explicó. «Esto permite la recuperación simple de algunos datos hash».
mayor peligro
Reina suprema esta primavera anunció la integración Su solución BioStar 2 funciona con el sistema de control de acceso AEOS de Nedap.
Más de 5700 organizaciones en 83 países utilizan AEOS. Estas entidades incluyen empresas, gobiernos, bancos y la Policía Metropolitana del Reino Unido.
La integración es tan fluida que los operadores pueden continuar trabajando en AEOS para administrar el registro de dedos y las identidades biométricas sin cambiar de pantalla. Los datos biométricos se almacenan en BioStar y se sincronizan constantemente con AEOS. Sincronización segura de certificados SSL.
Tanto los clientes de Nedap como los de Suprema se enfrentan a una amplia variedad de necesidades de seguridad.
«Esto puede complicar la implementación del proyecto. El objetivo principal de esta integración siempre ha sido brindar una solución realmente flexible y escalable que sea fácil de implementar y mantener», dijo Ruben Brinkman, gerente de alianzas de Nedcap.
«Esto habla de un gran problema. La conveniencia a menudo tiene un costo alto pero oculto en términos de seguridad comprometida», dijo Bastable. «Cuando se integra a la perfección con otra tecnología, está tomando sus prácticas de seguridad y entregándolas a sus clientes».
Los primeros proyectos que combinan las tecnologías de las dos empresas están en trámite.
«En general, la autenticación biométrica sigue siendo eficaz y segura», señaló Capps de NuData. «Dependiendo de la complejidad, la perspicacia de seguridad y el diseño prospectivo de la implementación, las implementaciones individuales pueden verse con sospecha».
Sistemas Biométricos y Seguridad
«Lamentablemente, existe la suposición de que proporcionar [biometric] La tecnología en sí misma es un modelo de virtudes de seguridad», dijo Bastable de Lucy Security.
«Haga preguntas difíciles sobre la seguridad de sus datos. No confíe, pero verifique, porque su propia seguridad depende de sus socios y proveedores externos», aconseja.
«Cifrado», agregó Bastable. «Utilice claves de hardware para la seguridad. Tokenice. Tenga políticas sólidas, pruébelas y no permita que los superusuarios abusen de su acceso».
