Fornecedora de travas eletrônicas com sistemas biométricos deixou banco de dados com informações de clientes expostas, segundo especialistas.
Por Altieres Rohr
Postado em 15 de agosto de 2019 às 21h30m
Postado em 15 de agosto de 2019 às 21h30m
O site vpnMentor encontrou um servidor de banco de dados exposto na internet contendo 27,8 milhões de registros, entre os quais estavam as informações referentes ao reconhecimento de digitais de mais de um milhão de pessoas. O site também trazia informações pessoais, e-mails e credenciais de acesso, inclusive senhas desprotegidas. A descoberta ocorreu em colaboração com os especialistas Noam Rotem e Ran Locar.
O servidor era de responsabilidade da Suprema, uma empresa especializada em sistemas de segurança e controle de acesso com travas eletrônicas. Segundo dados da própria empresa, seus sistemas foram instalados em mais de 1,5 milhão de locais no mundo. Os dados vazados pertenciam ao sistema BioStar 2.
A tecnologia da Suprema é utilizada por várias organizações e entidades do governo, como a Polícia Metropolitana do Reino Unido e empresas da indústria da saúde. Procurada, a Suprema não enviou posição oficial sobre o caso.
A Suprema informou ao jornal "The Guardian" que conduziu uma avaliação aprofundada do caso e que notificaria seus consumidores caso encontrasse uma "ameaça clara". Segundo a vpnMentor, a empresa inicialmente não demonstrou interesse em resolver o problema e foram necessários diversos contatos, com escritórios em vários países, até a companhia fechar o acesso aos dados expostos.
No total ficaram expostos 23 gigabytes de dados. No total, ficaram expostos 23 gigabytes de informações, incluindo senhas, dados de permissões de acessos, registros de entrada e saída dos ambientes, informações sobre funcionários e dados de autenticação, incluindo fotos e dados referentes a reconhecimento facial e de digital.
O vpnMentor informou que as digitais eram armazenadas na íntegra, sem nenhum tipo de proteção ou representação matemática, o que permite duplicar ou falsificar essas digitais.
Os especialistas lembram que, diferente das senhas, não é possível modificar uma digital roubada, o que a torna permanentemente insegura.
O vpnMentor recomendou que clientes da Suprema troquem suas senhas e entrem em contato com a companhia para ter mais informações. Embora o banco de dados tenha sido descoberto por especialistas que relataram o problema à empresa, é possível que as informações tenham sido copiadas por criminosos antes do acesso ser fechado.
Dados podiam ser modificados
Os dados estavam presentes em um servidor de "Elastic Search", uma tecnologia que fornece um canal para consultas em bancos de dados. Duas camadas de acesso ao banco de dados — o Elastic Search em si e o Kibana, que é um software que cria uma tela mais amigável para o próprio Elastic Search — estavam expostas.
Quando configurado corretamente, essas telas deveriam ficar bloqueadas e inacessíveis sem uma senha ou outra forma de proteção.
De acordo com o vpnMentor, o banco de dados da Suprema também permitia alterações. Em teoria, seria possível modificar as senhas ou inserir novos dados de autenticação para conceder acesso a pessoas que não deveriam ter autorização para tal.
O vazamento de dados referentes a 190 milhões de números do CPF e mais 35 milhões de do CNPJ, relatado pelo G1 em janeiro, também ocorreu por conta de um servidor de Elastic Search exposto na internet.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com