Encontrado: banco de dados legível no mundo usado para proteger prédios em todo o mundo

27

Prolongar / Senhas armazenadas em um banco de dados para o BioStar 2.

vpnMentor

Pesquisadores disseram ter encontrado um banco de dados de acesso público contendo quase 28 milhões de registros – incluindo senhas em texto simples, fotos e informações pessoais – usado para proteger prédios em todo o mundo.

Pesquisadores do vpnMentor relatado na quarta-feira que o banco de dados foi usado pelo Web-based Biostar 2 sistema de segurança vendido pela Suprema, com sede na Coréia do Sul. A Biostar usa reconhecimento facial e digitalizações de impressões digitais para identificar pessoas autorizadas a entrar em armazéns, prédios municipais, empresas e bancos. A vpnMentor informou que o sistema possui mais de 1,5 milhão de instalações em uma ampla gama de países, incluindo EUA, Reino Unido, Indonésia, Índia e Sri Lanka.

De acordo com o vpnMentor, o banco de dados de 23 gigabytes continha mais de 27,8 milhões de registros usados ​​pela Biostar para proteger as instalações do cliente. Os dados incluíam nomes de usuário, senhas e IDs de usuário em texto simples, registros de acesso à construção, registros de funcionários incluindo datas de início, detalhes pessoais, dados do dispositivo móvel e imagens de rosto.

“Senhas ridiculamente simples”

“Um dos aspectos mais surpreendentes desse vazamento foi como as senhas de contas que acessamos eram inseguras”, escreveram Noam Rotem, da VpnMentor Internet Privacy, e Ran Locar. "Muitas contas tinham senhas ridiculamente simples, como" Senha "e" abcd1234 ". É difícil imaginar que as pessoas ainda não percebem como isso torna fácil para um hacker acessar sua conta. ”

Os pesquisadores disseram que os dados também incluíram mais de 1 milhão de registros contendo as verificações de impressões digitais reais. O relatório de quarta-feira não forneceu dados para apoiar a reivindicação, e os pesquisadores da vpnMentor não responderam a uma solicitação do Ars para enviar exemplos de registros que incluíram essas verificações. Repórter de segurança do TechCrunch, Zack Whittaker disse no Twitter que sua investigação de vários hashes embaralhados foi inconclusiva.

Os especialistas em segurança concordam amplamente que a melhor maneira de armazenar ou transmitir dados biométricos é codificando-os primeiro para evitar que terceiros o obtenham no caso de uma violação. Se o banco de dados incluir mais de um milhão de impressões digitais reais, isso seria uma violação grave, pois expõe as pessoas a quem as impressões pertenciam, e as empresas para as quais as pessoas trabalhavam, a fraudes. Impressões digitais, ao contrário de senhas, não podem ser alteradas.

Algumas das organizações cujas informações eram públicas incluem:

EUA

Indonésia

  • Uptown – Espaço de coworking baseado em Jacarta com 123 usuários.

Índia e Sri Lanka

  • Academias do Mundo de Poder – Franquia de ginásio de alta classe com filiais em ambos os países. Nós acessamos 113.796 registros de usuários e suas impressões digitais.

Reino Unido

Emirados Árabes Unidos

  • Aldeia Global – Um festival cultural anual, com acesso a 15.000 impressões digitais.
  • IFFCO – Grupo de produtos alimentares para consumidores.

Finlândia

  • Euro Park – Desenvolvedor de espaço de estacionamento com sites em toda a Finlândia.

Peru

  • Ostim – Desenvolvedor de construção de zona industrial.

Japão

  • Inspirado. Lab – Coworking e espaço de design na cidade de Chiyoda, Tóquio.

Bélgica

  • Pessoal Adecco – Encontramos cerca de 2.000 impressões digitais conectadas ao pessoal e recursos humanos.

Alemanha

  • Identbase – Dados pertencentes a este fornecedor de tecnologia de impressão de identificação comercial e de cartão de acesso também foram encontrados no banco de dados exposto.

O relatório de quarta-feira disse que os pesquisadores descobriram o banco de dados por meio de um projeto de mapeamento da Internet que escaneou portas de blocos de IP familiares em busca de vulnerabilidades.

"A equipe descobriu que grandes partes do banco de dados do BioStar 2 estão desprotegidas e, na maioria das vezes, não criptografadas", escreveram os pesquisadores. "A empresa usa um banco de dados Elasticsearch, que normalmente não é projetado para uso de URL. No entanto, nós pudemos acessá-lo via navegador e manipular os critérios de pesquisa de URL para expor grandes quantidades de dados."

Além de armazenar as informações em um banco de dados legível no mundo, os pesquisadores da vpnMentor afirmaram que a Suprema também permitia que registros fossem adicionados, excluídos ou modificados. Isso deixou em aberto a possibilidade de que registros foram adicionados para permitir que pessoas não autorizadas acessem sites sensíveis. Também abre as portas para o roubo de identidade, ataques de phishing, chantagem e extorsão.

Os pesquisadores da vpnMentor disseram que descobriram o banco de dados exposto em 5 de agosto e relataram a descoberta em particular dois dias depois. Os dados não estavam garantidos até terça-feira, seis dias depois. Representantes da Suprema não responderam a um pedido de comentários sobre esta história.

Fonte: Ars Technica