Home Sociedad Millones de registros expuestos en base de datos biométricos

Millones de registros expuestos en base de datos biométricos

Un sistema biométrico de acceso a edificios utilizado por miles de empresas de todo el mundo ha expuesto 23 gigabytes de información, que representan más de 27,8 millones de registros.

El producto BioStar 2, utilizado por organizaciones como la Policía Metropolitana del Reino Unido, puso a disposición del público, información, incluyendo huellas dactilares e imágenes de reconocimiento facial.

Los investigadores de la empresa de asesoramiento VPN vpnMentor afirman que descubrieron los registros, expuestos en la plataforma de seguridad basada en la web BioStar 2, que almacena datos biométricos utilizados para acceder a las instalaciones físicas de miles de sitios en todo el mundo. Los clientes lo utilizan para acceder a áreas seguras de los edificios y para registrar los movimientos de los empleados con fines de control de presencia.

BioStar 2 también está integrado en sistemas de terceros, como el sistema de control de acceso AEOS de Nedap, que es utilizado por más de 5.700 organizaciones en 83 países. La Policía Metropolitana del Reino Unido se encuentra entre ellos.

Los datos expuestos incluían no sólo los nombres de usuario y contraseñas de los empleados sin cifrar, sino también más de un millón de registros de huellas dactilares e imágenes de reconocimiento facial. Los investigadores pudieron ver los registros de los movimientos de los empleados a través de las instalaciones físicas, junto con sus fechas de inicio y niveles de autorización de seguridad, su dirección de casa y correos electrónicos.

vpnMentor descubrió los datos expuestos en su mayoría no encriptados en una base de datos Elasticsearch. El equipo podría acceder a él a través de un navegador y podría manipular la URL para extraer los datos, dijeron en un informe publicado hoy.

Las empresas afectadas incluyen al proveedor de decoración del hogar y bricolaje Tile Mountain en el Reino Unido y Power World Gyms, una franquicia de gimnasios en India y Sri Lanka, que almacenó más de 113.000 registros de usuarios y huellas dactilares en la base de datos.

Suprema, la empresa que fabrica BioStar 2, no cooperó en absoluto, según vpnMentor, que intentó varias veces ponerse en contacto con la empresa por correo electrónico. “Finalmente, decidimos comunicarnos por teléfono con las oficinas de BioStar 2. Una vez más, la compañía no respondió en gran medida”, dijo vpnMentor. “Al hablar con un miembro de su equipo alemán, recibimos una respuesta murmurada que decía ‘no hablamos con vpnMentor’, antes de que el teléfono se colgara repentinamente”.

vpnMentor advirtió que los ciberdelincuentes podrían utilizar la información para montar ataques de phishing o venderla en la web oscura. También podrían utilizarlo para obtener acceso físico a miles de instalaciones en todo el mundo.

“Toda la infraestructura de seguridad de un edificio pirateado se vuelve inútil. Cualquiera que tenga estos datos tendrá libertad de movimiento para ir a donde quiera, sin ser detectado”, dijeron.

Los usuarios de BioStar 2 deben cambiar sus contraseñas del tablero inmediatamente y notificar a los empleados que cambien sus contraseñas personales, dijeron los investigadores. Sin embargo, la exposición de una base de datos biométricos centralizada pone de relieve un problema más profundo, advirtió Charity Wright, analista de inteligencia sobre amenazas cibernéticas e investigadora de la empresa de protección contra amenazas IntSights Cyber Intelligence.

Suprema informó que “tiene conocimiento de los informes publicados en la prensa sobre su plataforma BioStar 2 y el supuesto acceso no autorizado a los datos de vpnMentor. La compañía se toma muy en serio cualquier informe de esta naturaleza. Está investigando las acusaciones en los informes de prensa y se pondrá en contacto con los terceros y/o individuos apropiados, según sea necesario.  En este momento, no puede hacer más comentarios, pero, si procede, emitirá otro comunicado de prensa a su debido tiempo, incluyendo correcciones de cualquier afirmación errónea en los informes hasta la fecha”.

Con información de: El Confidencial.