Biostar 2, una falla di sicurezza espone oltre un milione di impronte digitali

14 Agosto 2019 33

Evviva la sicurezza! Sarà stato probabilmente questo il primo pensiero che ci è passato per la testa leggendo il titolo di questa notizia secondo cui Biostar 2, un sistema di biometria sviluppato dalla società di sicurezza Suprema ed utilizzato da banche, polizia britannica e società di difesa, ha subito una grave violazione dei dati, rivelando le impronte digitali di oltre un milione di persone, nonché password non crittografate, informazioni sul riconoscimento facciale e altri dati personali.

La “falla” di sicurezza è stata scoperta dai ricercatori israeliani Noam Rotem e Ran Locar, entrambi appartenenti alla vpnmentor, servizio di revisione VPN, durante una scansione di rete di routine condotta la scorsa settimana. I ricercatori hanno scoperto che il database del sistema era disponibile pubblicamente e che manipolando i criteri di ricerca degli URL era possibile accedere a quasi 28 milioni di record e 23 GB di dati, tra cui impronte digitali, dati di riconoscimento facciale, password e informazioni sul nulla osta di sicurezza.

Tramite questa falla, inoltre, era anche possibile la modifica dei dati e l’aggiunta di nuovi utenti. In tal modo, sarebbe stato possibile aggiungere la propria impronta digitale al sistema per accedere illegalmente a strutture protette. Biostar 2 è utilizzato in 1,5 milioni di location in tutto il mondo ed utilizza le impronte digitali ed una tecnologia di riconoscimento facciale per consentire l’accesso agli edifici. Il mese scorso la piattaforma è stata integrata in un altro sistema di accesso - AEOS - utilizzato da 5.700 organizzazioni in 83 paesi, tra cui la polizia metropolitana britannica.

Noam Rotem ha dichiarato che il team di ricerca ha provato diverse volte a contattare, senza successo, la società Suprema prima di rendere pubblica questa scoperta. Successivamente alla pubblicazione della notizia su The Guardian, un portavoce della società ha affermato che sarebbe stata effettuata una "valutazione approfondita" e che sarebbe stata fatta una comunicazione ai clienti qualora esistesse una minaccia. Nel frattempo, la “falla” è stata chiusa.

Sebbene questo caso sia emblematico e di maggior impatto rispetto ad altri avvenuti in passato, è notizia di febbraio che una vulnerabilità nei sistemi di e-ticketing (servizio biglietteria via internet) di diverse compagnie aeree di tutto il mondo, era stata potenzialmente in grado di esporre tutti i dati sensibili degli utenti, un rischio non da poco per la privacy. La natura di questa perdita di questi dati biometrici, tuttavia, potrebbe avere delle conseguenze importanti: una password può essere cambiata ma non un’impronta digitale.

Fotocamera Wide al miglior prezzo? LG G7 ThinQ è in offerta oggi su a 372 euro oppure da ePrice a 748 euro.

33

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
ErCipolla

Una vulnerabilità sconosciuta agli sviluppatori e quindi imprevedibile è ben diversa da una implementazione scadente che viola ogni best practice conosciuta. In questo caso siamo nella seconda ipotesi: password e impronte salvate in chiaro? Operazioni CRUD non protette da autenticazione ma accessibili tramite semplice url manipulation? Qui siamo oltre l'incompetenza, sono errori che non dovrebbe fare neanche lo studentello fresco di itis. Ingiustificabile.

Pinzatrice

Vengono violate banche dati ovunque. Vorrai forse dirmi che tutti gli sviluppatori sono cialtroni?

No, semplicemente basta un mino bug, e l’esperienza ci insegna che software privi di bug non ne esistono, a fare il patatrac.

E può anche essere un bug lato client, sul protocollo di comunicazione, lato server...

Bite the Apple
Bellerofonte

i guanti puoi sfilarli quando vuoi, ma provaci con un dito trapiantato...

Ulster

Li contattano e non rispondono. Si svegliano solo quando la notizia finisce sul Guardian e sono costretti a fornire una spiegazione. Cialtroni fino in fondo

ErCipolla

"O è tutto a circuito chiuso, e quindi per definizione inviolabile se non in loco, oppure queste cose diventeranno all’ordine del giorno"

Ma non è vero... le tecnologie e le best practices per una sicurezza efficace ci sono. Il problema è che, come in questo caso, spesso ci sono sviluppatori cialtroni che non le applicano. Qui sono state violate più o meno tutte le buone norme per sviluppare un sistema del genere, ovvio che poi succedono queste cose

Mauro Morichetta

Hai mai sentito parlare del software wireshark? per farla breve analizza i dati scambiati dalla rete che metti in scansione, ti restituisce un log in cui jai tutti i movimenti e gli indirizzi IP che si sono collegati alla tua rete, tramite tale espediente che stavo guardando a scopo didattico ho scansionato la mia rete domestica, nel momento in cui l'ho fatto, il mio PC Linux non stava facendo niente, niente email aperte o browser internet aperto, avevo solo il programma in azione. Ebbene mentre studiavo i dati raccolti in una scansione che mi restituisce una lunga serie di dati in cui vengono specificati il volume dei dati, gli indiri IP di partenza e di destinazione. Mentre scorrevo le righe colorate randomicamente dal programma mi cade l'occhio su una serie di righe nere e rosse, ripeto il colore è casuale ma 4 righe avevano un risalto particolare, dai dati raccolti il mio PC Linux stava scambiando dati con i server di Amazon, piccoli dati ma ripetuti. Ora non sono una persona che ha titoli di studio in merito quindi se qualcuno ne sa più di quanto se so io ben vengano delle delucidazioni. Per finire mi ricollego al commento, nella mia scansione ho trovato dei dati che destano sospetto, aggiungo anche che nelle scansioni ripetute nei giorni successivi il feisbuk non compare mai, piuttosto Amazon si è ripetuta più e più volte, sarà il caso di porsi delle domande?

Mauro Morichetta

Dopo staxnet non credo vi sia una soluzione che garantisce la sicirezza, vuoi che i tuoi dati siano sicuri, scrivili su in foglio e poi brucialo.

IlFuAnd91

Niente sostituirà mai una buona password alfanumerica.

GianlucaA

Il problema dei dati biometrici è proprio questo. Quelli che ti cucchi alla nascita te li tieni finché non crepi e proprio questo a mio avviso li rende poco sicuri per proteggere info importanti

Bite the Apple

Il sarcasmo non è il tuo forte vero?

Pinzatrice

Tanto bisogna mettersi il cuore in pace.

O è tutto a circuito chiuso, e quindi per definizione inviolabile se non in loco, oppure queste cose diventeranno all’ordine del giorno, con conseguenze via via più gravi a mano a mano che l’uomo si divertirà a farsi sostituire da macchine anche per scaccolarsi al semaforo.

La questione della sicurezza digitale è un po’ come quella climatica. Finché non si vedranno gli effetti devastanti dei palesi problemi, nessuno farà niente a proposito.

Ma quando gli effetti si paleseranno sarà troppo tardi per mettere una pezza.

Pinzatrice

Quello si dice a chi si sente spiato da feisbuk, contesto sbagliatissimo.

Bellerofonte

ti fai trapiantare un dito da un deceduto

Jeson Turner

É stato anche difficile contattari? Io farei cadere molte teste in quell'azienda!
Tra l'altro immagino che per motivi di sicurezza era obbligatorio per i dipendenti usare questo riconoscimento. Danno incredibile.

ellios76

Suprema - una società con un nome del genere, da tanta sicurezza

ErCipolla

Ancora peggio: gente che memorizza le impronte digitali anziché degli hash delle stesse... follia pure, a questi criminali andrebbe vietato l'uso del PC a vita

Maurizio Mugelli

per sicurezza consiglio a tutti di cambiare immediatamente le impronte digitali.

Edoardo Motta

Siamo nel 2019 e ancora esiste gente che memorizza password non crittografate.

PassPar2_

Siamo ancora indietro, i governi dovrebbero tutelare meglio cose così delicate.

Fabio

Il GDPR fa anche questo.

GTX88

Che problema c'è, io non faccio nulla di male e non ho nulla da nascondere. Cit.

Bite the Apple

Nel era tecnologica, niente è al sicuro, troppi si fidano in modo incondizionato ai sistemi, bisogna essere più diffidenti, vigilare sempre, riflettere e non agire d’impulso.

e comunque gli utenti scelgono sempre impronte a facce semplici, rendendo il lavoro facile agli hacker!

momentarybliss

Ottimo, considerando che c'è chi vorrebbe trasferire on line qualsiasi cosa, anche la democrazia

irondevil

" a causa di una violazione dei nostri sistemi la preghiamo di cambiare le sue impronte" ah...

PassPar2_

Guanti con impronte stampate? Hanno perso la possibilità di usare le loro impronte, secondo me è un delitto molto grave quello che hanno subito!

"manipolando i criteri di ricerca degli URL"

Questo tipo di "attacco" si fa dagli anni 90.
Quindi niente, evidentemente con le buone non impareranno mai.

Occorre stabilire regole ferree:

-lasci DB privato accessibile dell'internet? --> multone proporzionale alla quantità e ai possibili danni per gli utenti

-conservi password o dati biometrici in chiaro? --> galera, non puoi cascare dal pero su questo aspetto

Idem per la backdoor non esplicitamente dichiarate tipo le password di amministrazione fisse nei firmware che i produttori si "dimenticano" dentro anche dopo la finalizzazione del prodotto.

il tempo degli strafalcioni, volontari o meno, deve finire.

Bite the Apple

aspetti di morire, così i dati che hanno diventano obsoleti :D:D

https://uploads.disquscdn.c...

GianL

LOL

PassPar2_

Bene, adesso cosa dovrebbero fare, cambiare le dita o la faccia?

Sony

Sony Xperia XZ3: a quasi un anno di distanza resiste bene | Riprova

Nvidia

Montaggio video: il PC e i software consigliati dai professionisti

Samsung

Recensione Samsung Galaxy Fit e: un notificatore con rilevamento attività

HDMotori.it

Sony, ecco l'autoradio 1 DIN con CarPlay, Android Auto e display da 9"