Due ricercatori di sicurezza israeliani di vpmentor, Noam Rotem e Ran Locar, hanno scoperto in questi giorni una gravissima falla in Biostar 2, un sistema di biometria estremamente diffuso, adottato ad esempio da tantissimi istituti bancari mondiali, nonché dalla polizia britannica e da altre aziende private del settore della sicurezza. La falla ha esposto le impronte digitali di più di 1 milione di persone, nonché le password non crittografate, informazioni sul riconoscimento facciale e altri dati personali.
Il sistema, sviluppato dall'azienda di sicurezza Suprema, utilizza le impronte digitali e la tecnologia di riconoscimento facciale per consentire alle persone l'accesso a determinati edifici. Lo scorso mese la piattaforma è stata integrata in un altro sistema di accesso, AEOS, utilizzato da 5.700 organizzazioni in 83 Paesi.
I due ricercatori israeliani si sono imbattuti nella falla durante una scansione di rete ordinaria condotta la scorsa settimana. In questo modo si sono accorti che il database di Biostar 2 era pubblicamente disponibile e che manipolando URL e criteri di ricerca erano in grado di accedere a quasi 28 milioni di record, per un totale di 23 GB di dati, comprese le impronte digitali, i dati di riconoscimento facciale, password e altre informazioni sensibili.
A quanto dichiarato da Rotem al The Guardian, la falla consentirebbe di modificare dati e aggiungere nuovi utenti, che avrebbero il permesso di aggiungere la propria impronta digitale al sistema di controllo degli accessi di qualsiasi struttura faccia uso di Biostar 2. La cosa più grave comunque, a detta dei due esperti di sicurezza, non è la vastità del database e la quantità di dati esposti, ma la natura stessa dei dati, che avrà certamente conseguenze negative in futuro: se infatti è possibile cambiare una password non è possibile sostituire delle impronte digitali.
Secondo la ricostruzione proposta dai due ricercatori il team ha anche fatto numerosi tentativi per entrare in contatto con Suprema prima di prendere la decisione di divulgare tutto attraverso la stampa, senza mai ottenere risposta. Tuttavia, il responsabile marketing di Suprema, Andy Ahn, ha dichiarato al Guardina la società ha già proceduto a una "valutazione approfondita" della ricerca di vpnmentor e renderà noto al più presto la presenza di eventuali minacce per i propri clienti. La vulnerabilità comunque è stata corretta.