La información biométrica fue encontrada en una base de datos de acceso público de una compañía denominada Suprema, que es responsable del sistema de cerraduras biométricas Biostar 2 basado en la web. Biostar permite el control centralizado del acceso a instalaciones protegidas, como los edificios de oficinas. Utiliza datos biométricos como huellas dactilares y reconocimiento facial como parte de sus medidas para identificar a las personas que intentan entrar a los edificios.
Los investigadores de seguridad israelíes Noam Rotem y Ran Locar, dijeron a The Guardian que Biostar había sido integrado en otro sistema de control de acceso llamado AEOS. Según ambos expertos, AEOS es utilizado por 5.700 organizaciones en 83 países, incluyendo gobiernos, bancos y agencias policiales.
Rotem y Locar estaban llevando a cabo un proyecto paralelo para escanear puertos en busca de bloques IP conocidos, que luego utilizaban para detectar agujeros en los sistemas de las empresas, que podrían conducir potencialmente a brechas de datos. Durante su investigación, y para su sorpresa, encontraron la base de datos de Biostar 2, totalmente desprotegida y en su mayoría sin cifrar. Esto les permitió buscar en la base de datos manipulando los criterios de búsqueda de URL mediante Elasticsearch para obtener acceso a los datos.
The Guardian informó que los investigadores tuvieron acceso a más de 27.8 millones de registros y 23 GB de datos, incluyendo paneles de administración, tableros de control, datos de huellas dactilares, datos de reconocimiento facial, fotografías de los usuarios, nombres de usuario y contraseñas sin cifrar, registros de acceso a las instalaciones, niveles de seguridad y autorización, y datos personales de los empleados.
Rotem dijo a The Guardian que muchos de los nombres de usuario y contraseñas no estaban encriptados, ni siquiera los de las cuentas de administrador. “Pudimos encontrar contraseñas en texto plano de las cuentas de administrador”, dijo el investigador, añadiendo que “el acceso permite, en primer lugar, ver que millones de usuarios están utilizando este sistema para acceder a diferentes lugares y ver en tiempo real que usuario entra en cada unidad o a que sala de la unidad”.
Los investigadores comentaron a The Guardian que podrían haber cambiado los datos y agregado nuevos usuarios, lo que significa que pudieron haber manipulado los registros de un usuario existente, agregar sus propias huellas dactilares, y luego acceder a cualquier edificio al que el usuario tuviera acceso.
Rotem y Locar aseguraron que intentaron varias veces contactar a Suprema antes de llevar su trabajo de investigación al The Guardian a finales de la semana pasada, sin resultado alguno. Al ser contactado por The Guardian, Andy Ahn, un portavoz de Suprema, dijo que la compañía había realizado una “evaluación en profundidad” de la información proporcionada por vpnmentor y que informaría a los clientes en caso de que existiera una amenaza. “Si ha habido alguna amenaza definitiva en nuestros productos y/o servicios, tomaremos medidas inmediatas y haremos los anuncios apropiados para proteger los valiosos negocios y activos de nuestros clientes”, dijo Ahn.
Ilustración (c) Ra2studio vía Shutterstock
