Biostar 2, autenticazione biometrica e violazioni
Grave violazione segnalata per il database del sistema Biostar 2: sottratte le credenziali relative all’autenticazione biometrica.
Violazione per un sistema di autenticazione biometrica utilizzato da istituti bancari, aziende partner dei dipartimenti di difesa e dalle forze di polizia britannica: si tratta di Biostar 2, messo a punto e gestito dalla società Suprema. Stando a quanto trapelato, il data breach avrebbe esposto le impronte digitali per oltre un milione di persone così come password in forma non protetta da crittografia, credenziali legate al riconoscimento facciale e altre informazioni personali.
Una violazione per Biostar 2
La tecnologia è impiegata anche per gestire l’accesso agli edifici. Soltanto il mese scorso è stato integrato in AEOS, altro sistema di autenticazione utilizzato da circa 5.700 organizzazioni in 83 paesi. A rendere noto l’accaduto sono stati Noam Rotem e Ran Locar, ricercatori di vpnMentor, dopo averlo scoperto durante un controllo di routine: hanno trovato una parte del database di Biostar 2 accessibile pubblicamente, con la possibilità di allungare le mani su circa 28 milioni di record (23 GB di dati) semplicemente modificando un URL.
La falla, che ora risulta corretta, permetteva di aggiungere nuove utenze a quelle autorizzate dalle realtà che impiegano il sistema. Era dunque possibile ad esempio inserire le proprie impronte digitali o quelle di un soggetto terzo consentendo così a persone non autorizzate l’accesso a dati o addirittura luoghi, con potenziali conseguenze per la sicurezza facilmente immaginabili.
L’aver sottratto le impronte digitali costituisce un pericolo anche in prospettiva: se tutti noi possiamo modificare una password in ogni momento, non è possibile fare altrettanto con i metodi di autenticazione biometrica.
I ricercatori hanno cercato di mettersi in contatto più volte con il team di Suprema, rendendosi disponibili a collaborare per porre rimedio alla situazione, senza però mai ottenere risposta. L’azienda interessata dal breach è intervenuta sulla questione dopo che i dettagli della violazione sono stati resi noti, affidando un breve comunicato alla redazione del Guardian.