El equipo de vpnMentor descubrió recientemente una violación de datos en la plataforma BioStar 2.
Esta es una plataforma de bloqueo inteligente de seguridad biométrica basada en la web. Permite a los administradores a manejar el acceso a áreas de seguras de las instalaciones.
Utiliza la tecnología de reconocimiento facial y huellas digitales para identificar a los usuarios.

Esta aplicación fue construida por Suprema, que es uno de los 50 principales fabricantes de seguridad del mundo.
Suprema y Nedap se asociaron recientemente para integrar BioStar 2 en su sistema de control de acceso AEOS.
5.700 organizaciones en 83 países utilizan AEOS, incluyendo algunas de las multinacionales más grandes.

La información filtrada es altamente sensible, contiene información personal de los empleados, contraseñas sin cifrar y nombres de usuarios.

Los piratas informáticos podrían utilizar esto para piratear instalaciones seguras y manipular sus protocolos para actividades delictivas.

Cuando la información de reconocimiento facial y de huellas digitales fue robada, no se pude recuperar. Esto afectara al individuo el resto de su vida.

El descubrimiento…

El equipo de vpnMentor, comenta que intento contactar a la compañía en varias oportunidades para así poder informarle sobre el hallazgo tan importante.
Pero se toparon con que BioStar 2 no era muy cooperativo, así que intentaron por llamadas telefónicas, pero tampoco dio resultado, de esta manera, lo intentaron varias veces por diferentes medios pero siempre fue igual.
Finalmente, después de hablar por teléfono con la sucursal francesa más cooperativa, la compañía tomó medidas para cerrar la brecha.

• Fecha de descubrimiento: 5 de agosto de 2019
• Fecha de contacto con los proveedores: 7 de agosto de 2019
• Fecha de acción: 13 de agosto, se cerró la violación

El equipo de vpnMentor pudo acceder a más de 27.8 millones de registros, un total de 23 gigabytes de datos, entre ellos:

• Acceso a paneles de administración de clientes, paneles, controles de back-end y permisos.
• Datos de huellas digitales.
• Información de reconocimiento facial e imágenes de los usuarios.
• Nombres de usuario, contraseñas e ID de usuario sin cifrar.
• Registros de entrada y salida a áreas seguras.
• Registros de empleados, incluidas las fechas de inicio.
• Niveles de seguridad y autorizaciones de los empleados.
• Datos personales, incluida la dirección del domicilio del empleado y correos electrónicos.
• Estructuras y jerarquías de empleados de empresas.
• Dispositivo móvil e información del sistema operativo.