Logo Embratel

Como um vazamento de biometria pode impactar seu negócio
SEGURANÇA , TI

Como um vazamento de biometria pode impactar seu negócio

27/08/2019

Biometria é usada para controle e acesso de funcionários numa empresa, mas vazamento desses dados pode levar a multas e extorsões.

Principais destaques:

  • Falha de segurança em empresa levou a vazamento de um milhão de impressões digitais;
  • Brecha pode levar criminosos a copiarem biometria para se passar por vítimas;
  • Entenda como um vazamento do tipo pode impactar empresas, clientes e funcionários.

Soluções de biometria são usadas para manter o controle e acesso a edifícios e sistemas de organizações: agências públicas, bancos, empresas do varejo, entre outras.

Recentemente, uma falha de segurança no software BioStar 2, da empresa sul-coreana Suprema, resultou no vazamento de um milhão de impressões digitais da sua base de dados.

Os dados expostos foram descobertos no início de agosto. Segundo pesquisadores israelenses, que notificaram a Suprema após o ocorrido, o software estava sem proteção e sem criptografia.

Os pesquisadores também tiveram acesso a quase 30 milhões de registros de empresas que utilizam o BioStar 2 (um total de 23GB de dados), entre eles:

  • Painel administrativo do cliente, dashboards, painel de controle back-end e permissões;
  • Dados biométricos;
  • Informações de reconhecimento facial e imagem dos usuários;
  • Usernames, senhas e outros IDs de usuários (como e-mail) sem criptografia;
  • Registros de entrada e saída de áreas de segurança;
  • Registros de colaboradores, incluindo data de início no emprego;
  • Níveis de segurança e folgas dos funcionários;
  • Informações pessoais como endereço residencial do funcionário e e-mails;
  • Hierarquias de funcionários das empresas;
  • Dispositivo móvel e informações do sistema operacional utilizado pelos funcionários.

A lista acima mostra como um vazamento biométrico pode impactar empresas que usam uma solução do tipo.

“Os dados biométricos são referentes a uma pessoa física. A biometria é usada para votar ou fazer um saque no banco, por exemplo. Mas você não pode trocar a impressão digital como troca a senha de um e-mail quando há um episódio assim”, explica Henrique Poyatos, professor de Tecnologia da FIAP.

Um vazamento de dados sensíveis (como a impressão digital é considerada pela Lei Geral de Proteção de Dados – LGPD), traz consequências para todos os envolvidos. Tanto para os donos quanto para os guardiões desses dados.

Para as empresas, uma das consequências é o pagamento de multas por conta do vazamento. Já para os colaboradores e clientes, a dor de cabeça pode ser maior. Os hackers podem falsificar a biometria e se passar pela vítima, realizando extorsões, ameaças e outros crimes.

FIQUE POR DENTRO: Como será o seu acesso aos dispositivos da empresa em que trabalha?

Como a brecha de segurança foi encontrada

O site vpnMentor publicou um vídeo (em inglês) detalhando como a falha de segurança foi encontrada. Veja abaixo:

Os impactos de uma solução de biometria vulnerável

Informações de reconhecimento facial e de impressão digital não podem ser alteradas, então a empresa deve investir em várias camadas de segurança para evitar vazamentos. “Ela pode usar biometria junto com outras soluções que dificultem a identificação da pessoa”, comenta Poyatos.

No caso do BioStar 2, a Suprema não criava um hash da impressão digital (que não há como reverter ao dado original, como já mostramos no Mundo + Tech). Mas sim, a salvava “crua”, podendo ser copiada para fins maliciosos.

Com a biometria e os outros dados disponíveis no vazamento, os criminosos poderiam usar as informações para diversas atividades ilegais e variadas. O relatório do vpnMentor apontou como alguns incidentes de segurança poderiam impactar negativamente as empresas:

1. Aquisições de contas e violações de segurança

Uma brecha de segurança, como aconteceu com o BioStar 2, pode dar acesso completo a contas de administrador na solução de biometria. Isso permitiria fazer alterações de segurança na rede da empresa ou criar novas contas para obter acesso a áreas seguras de um prédio ou instalação.

2. Roubo (físico) e fraude na empresa

O roubo de biometria pode dar acesso completo ao prédio de uma organização, seja um comércio pequeno ou um escritório do governo. O hacker pode usar esse banco de dados para entrar em uma sala e pegar qualquer item de valor.

O vazamento também dá aos hackers a possibilidade de invadir redes corporativas, que podem não estar disponíveis no ambiente externo do prédio. Com isso, eles podem roubar informações valiosas, plantar vírus, monitorar e explorar sistemas.

3. Roubo de identidade e ameaça aos usuários

O vazamento do BioStar 2 continha muitos detalhes pessoais dos funcionários. Isso pode fazer com que colaboradores e clientes das empresas afetadas sejam alvos de fraudes e outros crimes.

A quantidade de informações pode ser usada para criar campanhas de phishing eficazes, assim como fornecer uma base sólida para ameaçar os usuários em busca de ganhos financeiros ilegais.

Os hackers também podem vender a informação (até mesmo as impressões digitais) na dark web. Isso levaria a diversas atividades criminosas e não rastreáveis, comprometendo os dados dos funcionários e clientes das empresas afetadas.

“Não há como trocar a impressão digital, mas clientes e usuários podem trocar algumas informações como senha de e-mails, do celular ou de outros serviços para dificultar a identificação deles”, aconselha Poyatos.

4. Chantagem e extorsão

Os criminosos podem chantagear ou extorquir executivos da empresa, que terão maior acesso e permissões aos ambientes e processos internos. Com as informações pessoais disponíveis, os hackers vão explorar esses profissionais com vulnerabilidades como família e relacionamento.

A segurança dos dados da biometria

Cloud seria a opção menos favorável a vazamentos, comenta Poyatos. Para o professor, “dependendo do volume de dados, é inviável guardar dentro da empresa, como em um data center, já que é uma solução que pode trazer outras brechas de segurança”, diz.

Ele sugere também outras camadas de segurança que vão dificultar a identificação dos usuários. “As empresas podem usar a biometria e mais um token no smartphone do funcionário. Mas elas devem criptografar e armazenar esses dados em servidores distintos.”

Poyatos afirma que todas as empresas devem se preocupar com a segurança dos dados. “Sabemos que o banco toma cuidado com a biometria, mas e uma academia? Ela usa esse reconhecimento para registrar a entrada de alunos, mas não é o core business dela. Talvez seja, depois que a LGPD entrar em vigor”.

Leia Também:

5 perguntas que você deve responder ao criar uma jornada de dados
Indústria 4.0: só 1.6% das empresas brasileiras está em estágio avançado
A jornada do CIO para a nuvem
Futurecom 2019: Edge Computing é a chave para transformação digital do data center
Compartilhe:

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *