Sono stati hackerati i dati di una delle più grandi aziende biometriche del mondo: Suprema. Si stima che siano state trafugate oltre 1 milione di impronte digitali
La notizia è di pochi giorni fa: Suprema, un’importante azienda biometrica, è stata vittima di un attacco hacker che ha portato alla perdita dei dati, derivati dalla sua piattaforma BioStar 2.
L’attacco è stato scoperto da due ricercatori israeliani, Noam Rotem e Ran Locar, della società vpnMentor, che hanno individuato 23 gigabyte di dati rubati dai sistemi di Suprema, che comprendono 27,8 milioni di record, tra cui 1 milione di impronte digitali di dipendenti delle aziende che usano i sistemi BioStar 2, i log di accesso e i dati di riconoscimento facciale.
Suprema è un’azienda coreana specializzata nella fornitura di sistemi di sicurezza basati sull’analisi biometrica, una delle più importanti del suo settore, che si occupa di garantire la sicurezza derivata dalla conservazione di dati biometriche di utenti, usati poi come “password” dagli stessi per accedere ad edifici e per permettere alle compagnie di controllare lo spostamento dei dipendenti all’interno di laboratori o aziende, un metodo sicuro, usato anche nei film di spionaggio.
L’hack deriva da una falla di sicurezza nei sistemi di Suprema, il database del sistema era infatti utilizzabile pubblicamente e, manipolando i criteri di ricerca di alcuni URL, era possibile accedere a circa 28 milioni di record, tra cui impronte digitali, dati di riconoscimento facciale, password non crittografate correttamente e informazioni sul nulla osta di sicurezza.
Questa falla permetteva inoltre di modificare alcuni dati inseriti, nonché di caricare nuovi record sul sistema, dando loro determinati permessi e mettendo quindi ampiamente a rischio non solo la privacy degli utenti ma anche la sicurezza degli edifici che utilizzano la tecnologia BioStar 2.
Recentemente la società ha avviato una grossa partnership per integrare i suoi sistemi di sicurezza in AEOS, un sistema utilizzato da 5700 organizzazioni in 83 Paesi, tra cui la polizia metropolitana britannica.
I due ricercatori inoltre hanno fatto anche molta fatica a contattare l’azienda per avvisarla dell’accaduto (pare siano stati anche rimbalzati telefonicamente da un impiegato) ma alla fine sono riusciti a comunicare la scoperta alla filiale francese di Suprema che ha provveduto prontamente a riparare la falla.
In un post che denuncia quanto successo vpnMentor mette anche in evidenza come alcune delle password non crittografate trafugate avessero un livello bassissimo di sicurezza, trovando anche le solite “abcd1234” e “Password” (qui c’è un interessante articolo che ripropone le peggiori password del 2019).
L’accaduto apre però a un’importante riflessione per quanto riguarda i dati biometrici e il loro utilizzo in termini di sicurezza: questi dati, a differenza delle solite credenziali o i sistemi di autenticazione a due fattori standard, non possono essere modificate.
Una volta che sono state rubate, non c’è più nulla da fare se non cambiare sistema di autenticazione su tutti i propri dispositivi poiché, se fosse possibile risalire al proprietario, avere quel singolo dato potrebbe permettere ai malintenzionati di accedere a tutti i suoi account o hardware grazie a quell’unica password.
