Un'azienda di sicurezza che gestisce l'identificazione delle impronte digitali dei dipendenti per le aziende di tutto il mondo ha esposto più di 2 milioni di bit di dati, di cui 76, 000 impronte digitali, secondo un gruppo di ricerca sulle minacce informatiche.

Antheus Tecnologia, un'azienda brasiliana che sviluppa e gestisce sistemi automatizzati di identificazione delle impronte digitali, ha lasciato 16 gigabyte di informazioni altamente sensibili relative all'identificazione del cliente e ai dettagli biometrici non protetti sui propri server. La violazione è stata scoperta dai ricercatori di SafetyDetectives.com, specializzato nell'analisi di software antivirus. I ricercatori dicono che la violazione è stata assicurata.

La minaccia del furto di dati biometrici è più grave della violazione media della password o dell'infezione da malware. Una volta rilevata una violazione, un utente può modificare una password o applicare una patch software per eliminare la minaccia. Ma i dati delle impronte digitali sono diversi:le impronte digitali sono per tutta la vita, non possono essere "aggiornati" o modificati. Anche le scansioni dell'iride e i dati di riconoscimento facciale sono essenzialmente permanenti.

È stato riscontrato che il server Antheus impiega misure deboli relative all'accesso al sistema. Ha inoltre archiviato immagini reali delle impronte digitali e registri dell'indice che potrebbero essere facilmente abbinati e utilizzati in attività criminali da hacker malintenzionati.

"Il metodo non protetto con cui Antheus Tecnologia memorizza le informazioni è piuttosto allarmante considerando la sua importanza, " ha affermato il ricercatore Anurag Sen. "È ancora più allarmante che Antheus Tecnologia sia stato costruito e distribuito da una società di sicurezza".

"Invece di salvare un hash dell'impronta digitale (che non può essere decodificato), Antheus sta salvando le reali impronte digitali delle persone attraverso una codifica rudimentale che può quindi essere replicata per scopi dannosi, "Spiega Sen.

La violazione della sicurezza è preoccupante considerando la maggiore dipendenza dai dati biometrici per l'accesso ai personal computer, telefoni cellulari e istituti bancari e commerciali.

L'incidente ricorda il furto informatico del 2015 di 22 milioni di record personali e 1 milione di impronte digitali utilizzate dall'FBI. In un'analisi dell'evento da parte di una delle vittime di furto d'identità, Janice Kephart, fondatore della Secure Identity and Biometrics Association, ha detto che tutti coloro che hanno lavorato per il governo dal 2000 "ora non sono solo soggetti a furto di identità in base alle nostre informazioni biografiche, ma le nostre impronte ora sono legate a quei dati biografici" per sempre.

Sen ha notato che i tipi di attività criminali che la violazione espone gli utenti includono il furto di identità, accesso a informazioni classificate, furto finanziario, attacchi di phishing, ricatto, estorsioni e ransomware.

Ha elencato misure, molti di loro di lunga data, soluzioni di buon senso, per proteggersi dal furto di identità. Tra loro:

- Verifica che il sito su cui ti trovi sia sicuro (cerca https e/o un lucchetto chiuso)

- Distribuisci solo ciò che ritieni non possa essere usato contro di te (evita i numeri di identificazione del governo, preferenze personali che potrebbero causare problemi se rese pubbliche, eccetera.)

- Crea password sicure combinando lettere, numeri, e simboli—Utilizza strumenti di scansione online per verificare la presenza di vulnerabilità note sui dispositivi—Non fare clic sui collegamenti nelle e-mail se non sei sicuro che il mittente sia legittimo—Evita di utilizzare i dati della carta di credito e di digitare password su reti Wi-Fi non protette

© 2020 Scienza X Rete