Más de un millón de huellas dactilares y otros datos sensibles han sido expuestos en línea por una empresa de seguridad biométrica, según los investigadores.
Los investigadores que trabajan con la empresa de ciberseguridad VPNMentor dicen que accedieron a los datos de una herramienta de seguridad llamada Biostar 2.
Lo utilizan miles de empresas de todo el mundo, incluida la Policía Metropolitana del Reino Unido, para controlar el acceso a partes específicas de instalaciones seguras.
Suprema, la empresa que ofrece Biostar 2, dijo que estaba abordando el problema.
"Si ha habido alguna amenaza definitiva sobre nuestros productos y/o servicios, tomaremos medidas inmediatas y haremos los anuncios pertinentes para proteger los valiosos negocios y activos de nuestros clientes", dijo un portavoz de la compañía dijo a The Guardian.
Según VPNMentor, los datos expuestos, descubiertos el 5 de agosto, se hicieron privados el 13 de agosto.
No está claro durante cuánto tiempo fue accesible.
Además de los registros de huellas dactilares, los investigadores afirman haber encontrado fotografías de personas, datos de reconocimiento facial, nombres, direcciones, contraseñas, historial de empleo y registros de cuándo habían accedido a zonas seguras.
- Millones de huellas dactilares robadas en el hackeo del gobierno de EE.UU.
- Una "fuga" en la mayor base de datos del mundo preocupa a los indios
Desde que se conoció la noticia de la exposición de los datos, algunos han cuestionado el alcance al que se le facilitaron datos reales de huellas dactilares.
Sin embargo, los investigadores de ciberseguridad afirman que mantienen su investigación.
Suprema dijo en una declaración a la BBC que estaba al tanto de los informes sobre la violación y que los estaba tomando "muy en serio".
"Suprema] está investigando las acusaciones que aparecen en los informes de prensa y se pondrá en contacto con las terceras partes y/o individuos apropiados, según sea necesario.
"En este momento, no puede hacer ningún otro comentario, pero, si procede, emitirá un nuevo comunicado de prensa a su debido tiempo, incluyendo correcciones de cualquier afirmación errónea en los informes hasta la fecha".
Entre las organizaciones británicas directamente afectadas por la brecha se encuentra Tile Mountain, un minorista de artículos para el hogar.
Biostar 2 sólo se utilizó en la sede central de la empresa en Stoke on Trent, dijo el director de TI Colin Hampson.
Dijo que desde el 26 de febrero de 2018 Tile Mountain no era un "cliente activo" de Suprema y que, en cambio, había almacenado los datos biométricos en sus propios servidores internos seguros.
añadió Hampson:
A pesar de que Tile Mountain no es un cliente activo de Suprema, es preocupante que no se haya contactado con nosotros para informarnos de que los datos podrían haberse visto comprometidos, lo que podría haber impedido a Tile Mountain cumplir con sus obligaciones según el GDPR [Reglamento General de Protección de Datos],
Suprema 'colgada'
"Es una locura, simplemente una locura", dijo a la BBC Noam Rotem, uno de los investigadores que encontró los datos. Señaló que la información biométrica, como las huellas dactilares, nunca podría volver a ser privada una vez perdida.
Dijo que él y sus colegas habían tenido dificultades al intentar informar de los datos expuestos a Suprema.
"Empezamos a llamar a todas las oficinas una por una y tuvimos que lidiar con gente que simplemente colgaba el teléfono", dijo.
En total, se encontraron 23 gigabytes de datos que contenían casi 30 millones de registros expuestos en línea.
"Esto podría ser utilizado en una amplia gama de actividades delictivas que serían desastrosas tanto para las empresas y organizaciones afectadas, como para sus empleados o clientes", dijo VPNMentor en un blog sobre el descubrimiento.
La filtración de datos fue "horrenda", según Simon Birchall, director general de Timeware, una empresa británica que instala lectores de huellas dactilares Suprema.
El Sr. Birchall dijo que Timeware había desarrollado su propio software para los dispositivos y no proporcionaba Biostar 2 a los clientes.
"Parece que alguien ha tomado el producto estándar de Biostar 2 y lo ha instalado en una red abierta", dijo a la BBC. "Es una tontería lo que han hecho".
Control policial
El Sr. Rotem dijo a la BBC que varias empresas británicas se habían visto afectadas.
Sin embargo, no pudo confirmar sus nombres porque él y su equipo no descargaron todos los datos que encontraron para limitar las implicaciones de privacidad de la violación.
Un portavoz de la Policía Metropolitana dijo a la BBC que el cuerpo estaba ahora comprobando si era una de las organizaciones afectadas.
Entre otras empresas cuyos datos fueron descubiertos se encuentran:
- Power World Gyms, una franquicia de gimnasios en la India y Sri Lanka - 113.796 registros de usuarios, incluidas las huellas dactilares
- Global Village, un festival anual en los Emiratos Árabes Unidos -15.000 huellas digitales
- Adecco Staffing, empresa belga de recursos humanos - 2.000 huellas dactilares
La Oficina del Comisionado de Información del Reino Unido dijo que estaba al tanto de los informes sobre Biostar 2 y que iba a hacer averiguaciones.
Fuente: Noticias de la BBC