Si a alguien le roban su huella digital y otros datos biométricos, no se puede hacer mucho. Eso no se puede cambiar.
Investigadores asociados con vpnMentor, que proporciona revisiones de redes privadas virtuales, informaron el miércoles de una violación de datos que involucra casi 28 millones de registros en una base de datos de seguridad biométrica BioStar 2 perteneciente a Suprema.
“La base de datos de BioStar 2 se dejó abierta, desprotegida y sin cifrar”, dijo vpnMentor en un correo electrónico proporcionado a TechNewsWorld por un empleado de la compañía que se identificó como “Guy”.
“Después de comunicarnos con ellos, pudieron cerrar la fuga”, dijo vpnMentor.
BioStar 2 es la plataforma de seguridad integrada, abierta e integrada de Suprema.
La fuga se descubrió el 5 de agosto y vpnMentor contactó a Suprema el 7 de agosto. La fuga se cerró el 13 de agosto.
Lo que se robaron
El equipo de vpnMentor obtuvo acceso a paneles de administración de clientes, tableros, controles de back-end y permisos, que finalmente expusieron 23 GB de registros:
- Datos de huellas digitales
- Información de reconocimiento facial e imágenes de usuarios
- Nombres de usuario, contraseñas e ID de usuario sin cifrar
- Registros de entrada y salida a áreas seguras
- Registros de empleados, incluidas las fechas de inicio
- Niveles de seguridad y autorizaciones de los empleados
- Datos personales, incluida la dirección del domicilio del empleado y correos electrónicos
- Estructuras y jerarquías de empleados de empresas
- Dispositivo móvil e información del sistema operativo.
Los datos que vpnMentor encontró expuestos habrían dado a los delincuentes que pudieran haberlos robado acceso completo a las cuentas de administrador en BioStar 2. Eso permitiría a los delincuentes hacerse cargo de cuentas de alto nivel con permisos de usuario completos y autorizaciones de seguridad; realizar cambios en la configuración de seguridad en toda la red; y crear nuevas cuentas de usuario, completas con reconocimiento facial y huellas digitales, para obtener acceso a áreas seguras.
Los datos en cuestión también permitirían a los piratas informáticos secuestrar cuentas de usuarios y cambiar los datos biométricos en ellas para acceder a áreas restringidas. Tendrían acceso a los registros de actividades, por lo que sus actividades podrían ocultarse o eliminarse. Los datos robados permitirían campañas de phishing dirigidas a personas de alto nivel y facilitarían el phishing.
“No hay mucho que un consumidor pueda hacer aquí, ya que realmente no se pueden cambiar las huellas digitales o la estructura facial”, observó Robert Capps, estratega de autenticación de NuData Security, una compañía de Mastercard.
Sin embargo, un ladrón de datos requeriría acceso al dispositivo del consumidor para cometer fraude de autenticación biométrica a ese nivel.
El cuidado y la alimentación de contraseñas
Muchas de las cuentas tenían contraseñas simples como “contraseña” y “abcd1234”, señaló vpnMentor.
“No veo ninguna excusa para usar tales contraseñas para aplicaciones del mundo real”, dijo Bastable.
Sin embargo, “estas son contraseñas comunes que todavía usan los consumidores hoy en día”, dijo Capps a TechNewsWorld. “También es posible que se trate de contraseñas predeterminadas establecidas cuando se creó la cuenta, pero que nunca cambiaron”.
Usar contraseñas simples para cualquier propósito es “una idea increíblemente mala”, dijo Capps. “Es una buena práctica crear una contraseña compleja que sea memorable, o usar un administrador de contraseñas para crear contraseñas altamente complejas que sean exclusivas de una sola cuenta”.
Las mejores prácticas y estándares para el almacenamiento seguro de contraseñas “han estado disponibles durante décadas”, señaló.
El equipo de vpnMentor fácilmente vio contraseñas más complicadas que se usan con otras cuentas en la base de datos BioStar 2, porque se almacenaron como archivos de texto sin formato en lugar de hash de forma segura.
“Es una falla fundamental de la práctica de seguridad”, dijo Bastable. “No es que el cifrado sea un arte perdido o terriblemente costoso”.
Las contraseñas nunca deben almacenarse como texto sin formato, advirtió Capps. Incluso las contraseñas hash pueden ser un problema si se utiliza un algoritmo débil o una contraseña corta.
“Muchos algoritmos de hash más débiles han tenido ‘tablas de arcoíris’, resultados de hash precalculados para cadenas de texto simples, que permiten que la contraseña hash se asigne de nuevo a su formato de texto claro”, explicó. “Esto permite una recuperación simple de algunos datos hash”.
Sistemas biométricos y seguridad
“Lamentablemente, se supone que las compañías de seguridad que ofrecen tecnologías [biométricas] son en sí mismas modelos de virtud de seguridad”, dijo Bastable de Lucy Security.
“Haga las preguntas difíciles sobre la seguridad de sus datos. No confíe, pero verifique, porque su propia seguridad depende de sus proveedores y socios externos”, aconsejó.
“Cifrar”, agregó Bastable. “Utilice la seguridad de la clave de hardware. Tokenización. Tenga una política sólida, pruébela y no permita que los superusuarios puedan abusar de su acceso”.