Un sistema di sicurezza usato in tutto il mondo utilizzava un database pubblicamente accessibile in rete, una falla che ora mette a rischio la sicurezza anche “fisica” di milioni di utenti ignari del problema.
Sviluppata da Suprema, una delle 50 principali aziende di sicurezza del mondo, la piattaforma BioStar 2 è un sistema di “serrature smart” che permette il controllo centralizzato degli accessi agli edifici tramite un’interfaccia Web. Ma la piattaforma registrava i dati degli utenti in forma decisamente insicura, e i ricercatori hanno individuato un database contenente la bellezza di 28 milioni di record inclusivi di informazioni che non dovrebbero assolutamente finire nella disponibilità di sconosciuti.
La falla di sicurezza in BioStar 2 è stata individuata dal team di vpnMentor, che ha scoperto un database Elasticsearch appartenente alla suddetta piattaforma; manipolando i criteri di ricerca tramite URL, i ricercatori hanno trovato il modo di accedere a ben 23 gigabyte di dati altamente sensibili inclusi password non cifrate, immagini di volti, dati biometrici riferiti a impronte digitali e riconoscimento facciale e altro ancora.
Secondo vpnMentor il database insicuro di BioStar 2 includeva parecchie password assolutamente insicure (“Password” “abcd1234” e altri orrori digitali similari), ed era utilizzato in più di 1,5 milioni di strutture in ogni parte del mondo (USA, India, UK, UAE, Giappone, Belgio, …) inclusi social club, palestre d’alto bordo, festival, parcheggi e altro ancora.
Ancora più inquietante è il fatto che, sempre secondo quanto sostiene il team di vpnMentor, nel database insicuro erano presenti anche più di 1 milione di scansioni di impronte digitali. Diversamente da una semplice password un’impronta digitale non può essere “modificata”, quindi una volta compromessa la scansione il proprietario di tal impronta dovrà fare i conti con il costante rischio di frodi e insicurezza informatica per buona parte della sua vita.
Almeno per il momento, nel caso BioStar 2 il rischio è del tutto ipotetico visto che Suprema sembra aver chiuso l’accesso al database vulnerabile in anticipo sulla pubblicazione del lavoro di ricerca di vpnMentor.