Impronte digitali e informazioni per il riconoscimento facciale relative a oltre 1 milione di dipendenti di imprese ed enti pubblici sono state scoperte in un database pubblicamente accessibile.
I dati sarebbero utilizzati dalla polizia britannica (Metropolitan Police Service) così come da istituti di credito e appaltatori della Difesa.
Gli esperti di vpnMentor hanno spiegato che i dati provverebbero dalla piattaforma BioStar 2, basata sul web e utilizzata per la gestione dello sblocco mediante parametri biometrici.
L’applicazione è stata sviluppata da Suprema, uno dei 50 produttori di soluzioni per la sicurezza più apprezzati al mondo, l’azienda con le quote di mercato più importanti nell’area EMEA (comprendente quindi anche l’Europa) in fatto di soluzioni per l’accesso mediante informazioni biometriche.
Di recente Suprema ha siglato una partnership con Nedap per integrare BioStar 2 nel sistema di controllo degli accessi AEOS.
AEOS è utilizzato da oltre 5.700 organizzazioni in 83 paesi, tra cui alcune delle più grandi multinazionali, molte piccole imprese locali, governi, banche e persino la Metropolitan Police britannica.
I ricercatori israeliani Noam Rotem e Ran Locar, autori della scoperta, hanno dichiarato che le informazioni conservate nel ricco database venuto a galla sono estremamente sensibili e possono avere un impatto devastante considerato che sono abbinate a nomi utente, password e dati personali dei dipendenti.
vpnMentor osserva che “una volta rubate, le impronte digitali e le informazioni sul riconoscimento facciale non possono essere recuperate. Una persona rimarrà quindi potenzialmente colpita dal furto dei suoi dati biometrici per il resto della sua vita“.
Gli esperti di vpnMentor confermano che a partire dallo scorso 13 agosto, le informazioni strettamente personali risultano finalmente inaccessibili.
Fortunatamente il data leak non sembra aver colpito aziende ed enti pubblici italiani mentre a livello internazionale si registra l’esposizione di dati personali di soggetti dipendenti di aziende in alcuni casi piuttosto famose.
vpnMentor conclude osservano che l’incidente avrebbe potuto essere facilmente evitato se i produttori di BioStar 2 avessero adottato alcune precauzioni di sicurezza di base: adozione di misure di sicurezza più efficaci lato server, memorizzazione dell’hash delle impronte digitali anziché l’impronta digitale in sé, utilizzo di adeguate policy per l’accesso al contenuto dei database.