Los registros biométricos de más de un millón de personas, además de otros detalles confidenciales, se encuentran expuestas al alcance de cualquier usuario en una base de datos sin asegurar, reportan expertos en seguridad de aplicaciones web. Según los reportes, la empresa responsable de esta base de datos trabaja de cerca con agentes de policía británicos, instituciones bancarias y contratistas militares.
Suprema, la compañía involucrada en el incidente, es responsable de Biostar 2, un sistema de control biométrico basado en la red que permite ejercer un control centralizado para el acceso a las instalaciones críticas, como almacenes u oficinas. Este sistema recurre al uso de huellas dactilares y reconocimiento facial para identificar a las personas autorizadas para acceder a determinadas ubicaciones.
A su vez, el sistema Biostar está integrado a AEOS, otro sistema de control de acceso empleado por miles de organizaciones en casi un centenar de países; los clientes más destacados de estos servicios incluyen bancos, gobiernos e instituciones del orden y de seguridad nacional.
Noam Rotem y Ran Loca, expertos en seguridad de aplicaciones web, se encuentran operando un proyecto de escaneo de puertos para la detección de conjuntos de direcciones IP similares para encontrar fallas de seguridad en los sistemas de las organizaciones que podrían conducir a un escenario de brecha de datos. Durante este proyecto fue que descubrieron la base de datos expuesta y sin cifrado de Biostar 2; para esto, los investigadores sólo tuvieron que manipular los criterios de búsqueda de URL en Elasticsearch.
Los expertos en seguridad de aplicaciones web lograron acceder a más de 27 millones de registros y más de 20 GB de datos, incluyendo paneles de control, registros de huellas dactilares, datos de reconocimiento facial, fotografías de los usuarios, credenciales de acceso y contraseñas sin cifrar, entre otros detalles confidenciales. “Estos detalles permiten saber qué usuarios están registrados en el sistema de acceso, además es posible determinar la ubicación en tiempo real de los usuarios en las instalaciones que cuentan con este sistema; incluso es posible modificar algunos datos y agregar nuevos usuarios”, mencionan los expertos.
Esta es una posibilidad alarmante, pues prácticamente cualquier persona con acceso a esa base de datos podría registrarse en el sistema y acceder a instalaciones con niveles de seguridad críticas, sin importar si se trata de un edificio corporativo o instalaciones militares o de seguridad.
Los investigadores mencionaron que fue posible acceder a los datos de cientos de organizaciones en E.U., Reino Unido, India, Pakistán, entre otros países. Acorde a los expertos en seguridad de aplicaciones web, el impacto potencial de este incidente es alarmante, pues existen más de 1 millón de ubicaciones en el mundo que cuentan con este sistema. Además, a diferencia de una contraseña, los usuarios no pueden cambiar sus huellas dactilares en caso de robo de datos.
A pesar de que los investigadores han tratado en múltiples ocasiones de contactar a la compañía responsable de la base de datos, ésta tardó cerca de una semana en responder. Finalmente, la falla fue corregida la madrugada de este miércoles, aunque la compañía sigue sin hacer comentarios sobre el incidente.
Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que esta clase de vulnerabilidades en las bases de datos son realmente comunes, aunque descubrirlas es un proceso tedioso; no obstante, el interés de los hackers en acceder a la información confidencial los lleva a hallar estas fallas de seguridad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad