Todos os dias, em algum lugar do mundo, registros são vazados e dados são perdidos. E quase a totalidade deles, poderia ter sido evitada, se medidas de segurança tivessem sido tomadas.
Uma equipe, liderada por Anurag Sen, descobriu quase 2,3 milhões de pontos de dados no total e estima que 76.000 impressões digitais únicas foram encontradas no banco de dados.
Aproximadamente 16 gigabytes de dados foram encontrados no servidor Elasticsearch, incluindo informações altamente confidenciais relacionadas à identificação e detalhes biométricos.
O servidor Antheus investigado pela equipe de segurança da Safety Detectives é um servidor de identidade, o que significa que dá aos usuários acesso ao sistema ou a capacidade de se registrar como um novo usuário. Ele também possui informações de impressão digital em pelo menos dois “índices” de um total de 9.
Quem é a Antheus Tecnologia?
Fundada em abril de 1996, a Antheus Tecnologia desenvolve e distribui Sistemas Automatizados de Identificação de Impressões Digitais (AFIS), impressão digital automatizada e outros sistemas, como dispositivos de reconhecimento de íris.
A Antheus Tecnologia afirma ser a primeira empresa brasileira a ser certificada pelo US Federal Bureau of Investigation (FBI) e desenvolve soluções biométricas para clientes nacionais e internacionais. Isso é muito preocupante.
O que vazou?
O servidor Antheus armazenava logs de acesso ao servidor e API, mas também continha dados de impressão digital compreendendo Bifurcação de Ridge e terminação de Ridge – componentes essenciais para identificar e verificar impressões digitais.
Número de registros vazados: Mais de 81,5 milhões de registros, incluindo e-mails da empresa de funcionários, números de telefone e 76.000 impressões digitais exclusivas
Tamanho: 16 gigabytes
Localização: Brasil
Além das informações de impressão digital, também havia ocorrências de vulnerabilidades de dados biométricos, como dados de reconhecimento de rosto acessíveis e recuperáveis do banco de dados.
Paralelamente à violação de dados biométricos, a Antheus Tecnologia também possui outra vulnerabilidade relacionada que foi notada durante a investigação. A empresa presta serviços ao Sistema Nacional de Identificação Civil no Brasil utilizado para a emissão de carteira de habilitação, embora o portal de acesso utilizado para a integração de novos usuários não seja seguro devido à falta de proteção por senha.
Além disso, além de dados do usuário, informações de login do administrador, diversos endereços de e-mail e telefones de funcionários também foram encontrados.
Sobre o Servidor
O servidor de identidade Antheus permite que os usuários façam login em seu sistema ou registrem novos usuários.
A prática de permitir o acesso aos dados do servidor dessa forma é bastante incomum. Essa metodologia deixa o servidor exposto, mas isso poderia ter sido feito propositalmente. Em caso afirmativo, é uma opção bastante estranha quando se trata de garantir a segurança.
A equipe da Safety Detectives encontrou dois índices, potencialmente referindo-se a duas empresas diferentes que usam o servidor Antheus para armazenar informações pessoais, incluindo dados de impressão digital. Além disso, a investigação encontrou registros de dados relacionados a varreduras precisas de impressão digital que podem ser reconstruídos a partir dos números de índice armazenados no servidor Antheus.
De acordo com a pesquisa da Safety Detectives, pode ser possível recriar (ou fazer engenharia reversa) um mapa de imagem biométrica para uma impressão digital específica a partir de sequências de dados encontradas no servidor.
Pelo que se descobriu, usuários nefastos podem acessar o servidor Antheus e, após extrair os dados disponíveis, podem usar o fluxo de dados de uns e zeros para recriar a imagem biométrica completa da impressão digital de alguém.
Impacto da LGPD
O reconhecimento facial, varreduras de retina, informações de impressão digital e dados biométricos são permanentes e não podem ser alterados. Uma vez roubados, o perpetrador tem um registro das informações biométricas de alguém, o que permite que cometa repetidos crimes no futuro, incluindo fraude de identidade.
Medidas de segurança negligentes para informações biométricas representam um risco de segurança persistente porque, mesmo que os dados não possam ser usados hoje, eles podem ser armazenados e usados posteriormente, visto que seu valor não diminui com o tempo.
O método não seguro pelo qual a Antheus Tecnologia armazena informações é bastante alarmante devido à sua importância. É ainda mais alarmante que a Antheus Tecnologia foi construída e implantada por uma empresa de segurança.
Em vez de salvar um hash da impressão digital (que não pode ser submetido à engenharia reversa), Antheus está salvando as impressões digitais reais das pessoas por meio de uma codificação rudimentar que pode ser replicada para fins maliciosos.
O que os criminosos podem fazer?
Ao reunir todos os dados pessoais encontrados no vazamento, os criminosos podem usar essas informações para várias atividades ilegais e perigosas, incluindo:
- Obter acesso a informações restritas ou confidenciais;
- Cometer uma série de crimes financeiros;
- Ataques de phishing;
- Chantagem, extorsão e ransomware;
- Crimes cometidos sob o disfarce de outra pessoa;
Violações de dados relacionadas a dados de impressão digital são particularmente preocupantes devido à incapacidade inerente dos usuários de atualizar suas informações de segurança.
Dadas as tendências atuais de consumo e profissionais, as impressões digitais estão substituindo as senhas digitadas em muitos bens de consumo, como telefones e laptops.
A maioria dos scanners de impressão digital em bens de consumo são criptografados, portanto, quando um hacker desenvolve tecnologia para replicar sua impressão digital, eles podem obter acesso a todas as informações privadas, como mensagens, fotos e métodos de pagamento armazenados em seu dispositivo.
Como você pode se prevenir?
Como você pode evitar que suas informações pessoais sejam expostas em um vazamento de dados e garantir que não seja vítima de ataques – cibernéticos ou reais – em caso de vazamento?
- Tenha cuidado com as informações que você fornece e a quem;
- Verifique se o site em que você está é seguro (procure https e / ou cadeado fechado);
- Dê apenas o que você acha que não pode ser usado contra você (evite números de identificação do governo, preferências pessoais que podem causar problemas se tornadas públicas, etc.);
- Crie senhas seguras combinando letras, números e símbolos;
- Não clique em links em e-mails a menos que você tenha certeza de que o remetente é legitimamente quem ele representa;
- Verifique novamente todas as contas de mídia social (mesmo aquelas que você não usa mais) para garantir que a privacidade de suas postagens e detalhes pessoais sejam visíveis apenas para pessoas em quem você confia;
- Evite usar informações de cartão de crédito e digitar senhas em redes WiFi inseguras;
- Saiba mais sobre o que constitui crime cibernético, as melhores dicas para evitar ataques de phishing e ransomware e fique atualizado com os últimos desenvolvimentos de segurança cibernética online por meio de nosso blog .
