27/08/2019
Biometria é usada para controle e acesso de funcionários numa empresa, mas vazamento desses dados pode levar a multas e extorsões.
Principais destaques:
Soluções de biometria são usadas para manter o controle e acesso a edifícios e sistemas de organizações: agências públicas, bancos, empresas do varejo, entre outras.
Recentemente, uma falha de segurança no software BioStar 2, da empresa sul-coreana Suprema, resultou no vazamento de um milhão de impressões digitais da sua base de dados.
Os dados expostos foram descobertos no início de agosto. Segundo pesquisadores israelenses, que notificaram a Suprema após o ocorrido, o software estava sem proteção e sem criptografia.
Os pesquisadores também tiveram acesso a quase 30 milhões de registros de empresas que utilizam o BioStar 2 (um total de 23GB de dados), entre eles:
A lista acima mostra como um vazamento biométrico pode impactar empresas que usam uma solução do tipo.
“Os dados biométricos são referentes a uma pessoa física. A biometria é usada para votar ou fazer um saque no banco, por exemplo. Mas você não pode trocar a impressão digital como troca a senha de um e-mail quando há um episódio assim”, explica Henrique Poyatos, professor de Tecnologia da FIAP.
Um vazamento de dados sensíveis (como a impressão digital é considerada pela Lei Geral de Proteção de Dados – LGPD), traz consequências para todos os envolvidos. Tanto para os donos quanto para os guardiões desses dados.
Para as empresas, uma das consequências é o pagamento de multas por conta do vazamento. Já para os colaboradores e clientes, a dor de cabeça pode ser maior. Os hackers podem falsificar a biometria e se passar pela vítima, realizando extorsões, ameaças e outros crimes.
FIQUE POR DENTRO: Como será o seu acesso aos dispositivos da empresa em que trabalha?
O site vpnMentor publicou um vídeo (em inglês) detalhando como a falha de segurança foi encontrada. Veja abaixo:
Informações de reconhecimento facial e de impressão digital não podem ser alteradas, então a empresa deve investir em várias camadas de segurança para evitar vazamentos. “Ela pode usar biometria junto com outras soluções que dificultem a identificação da pessoa”, comenta Poyatos.
No caso do BioStar 2, a Suprema não criava um hash da impressão digital (que não há como reverter ao dado original, como já mostramos no Mundo + Tech). Mas sim, a salvava “crua”, podendo ser copiada para fins maliciosos.
Com a biometria e os outros dados disponíveis no vazamento, os criminosos poderiam usar as informações para diversas atividades ilegais e variadas. O relatório do vpnMentor apontou como alguns incidentes de segurança poderiam impactar negativamente as empresas:
Uma brecha de segurança, como aconteceu com o BioStar 2, pode dar acesso completo a contas de administrador na solução de biometria. Isso permitiria fazer alterações de segurança na rede da empresa ou criar novas contas para obter acesso a áreas seguras de um prédio ou instalação.
O roubo de biometria pode dar acesso completo ao prédio de uma organização, seja um comércio pequeno ou um escritório do governo. O hacker pode usar esse banco de dados para entrar em uma sala e pegar qualquer item de valor.
O vazamento também dá aos hackers a possibilidade de invadir redes corporativas, que podem não estar disponíveis no ambiente externo do prédio. Com isso, eles podem roubar informações valiosas, plantar vírus, monitorar e explorar sistemas.
O vazamento do BioStar 2 continha muitos detalhes pessoais dos funcionários. Isso pode fazer com que colaboradores e clientes das empresas afetadas sejam alvos de fraudes e outros crimes.
A quantidade de informações pode ser usada para criar campanhas de phishing eficazes, assim como fornecer uma base sólida para ameaçar os usuários em busca de ganhos financeiros ilegais.
Os hackers também podem vender a informação (até mesmo as impressões digitais) na dark web. Isso levaria a diversas atividades criminosas e não rastreáveis, comprometendo os dados dos funcionários e clientes das empresas afetadas.
“Não há como trocar a impressão digital, mas clientes e usuários podem trocar algumas informações como senha de e-mails, do celular ou de outros serviços para dificultar a identificação deles”, aconselha Poyatos.
Os criminosos podem chantagear ou extorquir executivos da empresa, que terão maior acesso e permissões aos ambientes e processos internos. Com as informações pessoais disponíveis, os hackers vão explorar esses profissionais com vulnerabilidades como família e relacionamento.
Cloud seria a opção menos favorável a vazamentos, comenta Poyatos. Para o professor, “dependendo do volume de dados, é inviável guardar dentro da empresa, como em um data center, já que é uma solução que pode trazer outras brechas de segurança”, diz.
Ele sugere também outras camadas de segurança que vão dificultar a identificação dos usuários. “As empresas podem usar a biometria e mais um token no smartphone do funcionário. Mas elas devem criptografar e armazenar esses dados em servidores distintos.”
Poyatos afirma que todas as empresas devem se preocupar com a segurança dos dados. “Sabemos que o banco toma cuidado com a biometria, mas e uma academia? Ela usa esse reconhecimento para registrar a entrada de alunos, mas não é o core business dela. Talvez seja, depois que a LGPD entrar em vigor”.
MAIS LIDOS