Une entreprise de sécurité qui gère l'identification des empreintes digitales des employés pour les entreprises du monde entier a exposé plus de 2 millions de bits de données, dont 76, 000 empreintes digitales, selon un groupe de recherche sur les cybermenaces.

Antheus Tecnologia, une entreprise brésilienne qui développe et gère des systèmes automatisés d'identification d'empreintes digitales, ont laissé 16 gigaoctets d'informations hautement sensibles liées à l'identification des clients et aux détails biométriques non sécurisés sur leurs serveurs. La brèche a été découverte par des chercheurs de SafetyDetectives.com, spécialisée dans l'analyse des logiciels antivirus. Les chercheurs disent que la brèche a été sécurisée.

La menace de vol de données biométriques est plus grave que la violation moyenne de mot de passe ou l'infection par un logiciel malveillant. Une fois qu'une violation est détectée, un utilisateur peut modifier un mot de passe ou appliquer un correctif logiciel pour éliminer la menace. Mais les données d'empreintes digitales sont différentes :les empreintes digitales sont pour la vie, ils ne peuvent pas être "mis à niveau" ou modifiés. Les scans d'iris et les données de reconnaissance faciale sont également essentiellement permanents.

Le serveur Antheus s'est avéré utiliser des mesures faibles concernant l'accès au système. Il stockait également des images d'empreintes digitales réelles et des journaux d'index qui pouvaient facilement être mis en correspondance et utilisés dans des activités criminelles par des pirates malveillants.

"La méthode non sécurisée par laquelle Antheus Tecnologia stocke les informations est plutôt alarmante compte tenu de son importance, " a déclaré le chercheur Anurag Sen. " Il est encore plus alarmant qu'Antheus Tecnologia ait été construit et déployé par une société de sécurité. "

"Au lieu d'enregistrer un hachage de l'empreinte digitale (qui ne peut pas être rétro-conçu), Antheus enregistre les empreintes digitales réelles des personnes grâce à un encodage rudimentaire qui peut ensuite être répliqué à des fins malveillantes, " expliqua Sen.

La faille de sécurité est préoccupante compte tenu du recours accru aux données biométriques pour accéder aux ordinateurs personnels, les téléphones portables et les institutions bancaires et commerciales.

L'incident rappelle le cybervol en 2015 de 22 millions de dossiers personnels et 1 million d'empreintes digitales utilisées par le FBI. Dans une analyse de l'événement par l'une des victimes d'usurpation d'identité, Janice Kephart, fondateur de la Secure Identity and Biometrics Association, elle a déclaré que tous ceux qui travaillaient pour le gouvernement depuis 2000 "sont désormais non seulement soumis à une usurpation d'identité sur la base de nos informations biographiques, mais nos empreintes digitales sont désormais liées à ces données biographiques pour toujours.

Sen a noté les types d'activités criminelles que la violation expose les utilisateurs à inclure le vol d'identité, accès aux informations classifiées, vol financier, attaques de phishing, chantage, extorsion et ransomware.

Il a énuméré des mesures, beaucoup d'entre eux sont établis de longue date, des solutions de bon sens, pour se protéger contre l'usurpation d'identité. Parmi eux:

- Vérifiez que le site Web sur lequel vous vous trouvez est sécurisé (recherchez https et/ou un cadenas fermé)

- Ne donnez que ce que vous pensez ne pas pouvoir être utilisé contre vous (évitez les numéros d'identification du gouvernement, préférences personnelles qui peuvent vous causer des ennuis si elles sont rendues publiques, etc.)

- Créer des mots de passe sécurisés en combinant des lettres, Nombres, et symboles :utilisez des outils d'analyse en ligne pour rechercher sur vos appareils les vulnérabilités connues.

© 2020 Réseau Science X