Une base de données non sécurisée expose 76 000 empreintes digitales

Selon un groupe de recherche sur les cybermenaces, une entreprise de sécurité qui gère l'identification des empreintes digitales des employés pour les entreprises du monde entier a exposé plus de 2 millions de bits de données, dont 76 000 empreintes digitales.

Antheus Tecnologia, une société brésilienne qui développe et gère des systèmes automatisés d'identification des empreintes digitales, a laissé 16 gigaoctets d'informations hautement sensibles liées à l'identification des clients et aux détails biométriques non sécurisés sur leurs serveurs. La brèche a été découverte par des chercheurs de SafetyDetectives.com, spécialisée dans l'analyse de logiciels antivirus. Les chercheurs disent que la brèche a été sécurisée.

La menace de vol de données biométriques est plus grave que la violation moyenne d'un mot de passe ou une infection par un logiciel malveillant. Une fois qu'une violation est détectée, un utilisateur peut modifier un mot de passe ou appliquer un correctif logiciel pour éliminer la menace. Mais les données d'empreintes digitales sont différentes: les empreintes digitales sont à vie, elles ne peuvent pas être "mises à jour" ou modifiées. Les balayages d'iris et les données de reconnaissance faciale sont également essentiellement permanents.

Il a été constaté que le serveur Antheus employait de faibles mesures concernant l'accès au système. Il a également stocké des images d'empreintes digitales réelles et des journaux d'index qui pourraient facilement être mis en correspondance et utilisés dans des activités criminelles par des pirates malveillants.

"La méthode non sécurisée dans laquelle Antheus Tecnologia stocke les informations est plutôt alarmante compte tenu de leur importance", a déclaré le chercheur Anurag Sen. "Il est encore plus alarmant que Antheus Tecnologia ait été construit et déployé par une société de sécurité."

"Au lieu d'enregistrer un hachage de l'empreinte digitale (qui ne peut pas être rétro-conçue), Antheus enregistre les empreintes digitales réelles des gens grâce à un encodage rudimentaire qui peut ensuite être reproduit à des fins malveillantes", a expliqué Sen.

La faille de sécurité est préoccupante compte tenu de la dépendance accrue à l'égard des données biométriques pour l'accès aux ordinateurs personnels, aux téléphones portables et aux institutions bancaires et commerciales.

L'incident n'est pas sans rappeler le vol de 2015 de 22 millions de dossiers personnels et 1 million d'empreintes digitales utilisées par le FBI. Dans une analyse de l'événement par l'une des victimes de l'usurpation d'identité, Janice Kephart, fondatrice de la Secure Identity and Biometrics Association, elle a déclaré que tous ceux qui travaillaient pour le gouvernement depuis 2000 "ne sont désormais plus seulement soumis au vol d'identité sur la base de notre des informations biographiques, mais nos empreintes digitales sont désormais liées pour toujours à ces données biographiques.

Sen a noté les types d'activités criminelles que la violation expose aux utilisateurs, notamment le vol d'identité, l'accès à des informations classifiées, le vol financier, les attaques de phishing, le chantage, l'extorsion et les rançongiciels.

Il a énuméré des mesures, dont beaucoup sont des solutions de bon sens établies depuis longtemps, pour se protéger contre le vol d'identité. Parmi eux:

– Vérifiez que le site Web sur lequel vous vous trouvez est sécurisé (recherchez https et / ou un verrou fermé)

– Ne donnez que ce dont vous êtes sûr qu'il ne peut pas être utilisé contre vous (évitez les numéros d'identification du gouvernement, les préférences personnelles qui peuvent vous causer des problèmes si elles sont rendues publiques, etc.)

– Créez des mots de passe sécurisés en combinant des lettres, des chiffres et des symboles – Utilisez des outils d'analyse en ligne pour vérifier la vulnérabilité de vos appareils – Ne cliquez sur les liens dans les e-mails que si vous êtes sûr que l'expéditeur est légitime – Évitez d'utiliser les informations de carte de crédit et de taper des mots de passe sur des réseaux WiFi non sécurisés

© 2020 Science X Network