Como um vazamento de biometria pode impactar seu negócio

Como um vazamento de biometria pode impactar seu negócio

4 minutos de leitura

Biometria é usada para controle e acesso de funcionários numa empresa, mas vazamento desses dados pode levar a multas e extorsões.



Por Redação em 27/08/2019

Biometria é usada para controle e acesso de funcionários numa empresa, mas vazamento desses dados pode levar a multas e extorsões.

Principais destaques:

  • Falha de segurança em empresa levou a vazamento de um milhão de impressões digitais;
  • Brecha pode levar criminosos a copiarem biometria para se passar por vítimas;
  • Entenda como um vazamento do tipo pode impactar empresas, clientes e funcionários.

Soluções de biometria são usadas para manter o controle e acesso a edifícios e sistemas de organizações: agências públicas, bancos, empresas do varejo, entre outras.

Recentemente, uma falha de segurança no software BioStar 2, da empresa sul-coreana Suprema, resultou no vazamento de um milhão de impressões digitais da sua base de dados.

Os dados expostos foram descobertos no início de agosto. Segundo pesquisadores israelenses, que notificaram a Suprema após o ocorrido, o software estava sem proteção e sem criptografia.

Os pesquisadores também tiveram acesso a quase 30 milhões de registros de empresas que utilizam o BioStar 2 (um total de 23GB de dados), entre eles:

  • Painel administrativo do cliente, dashboards, painel de controle back-end e permissões;
  • Dados biométricos;
  • Informações de reconhecimento facial e imagem dos usuários;
  • Usernames, senhas e outros IDs de usuários (como e-mail) sem criptografia;
  • Registros de entrada e saída de áreas de segurança;
  • Registros de colaboradores, incluindo data de início no emprego;
  • Níveis de segurança e folgas dos funcionários;
  • Informações pessoais como endereço residencial do funcionário e e-mails;
  • Hierarquias de funcionários das empresas;
  • Dispositivo móvel e informações do sistema operacional utilizado pelos funcionários.

A lista acima mostra como um vazamento biométrico pode impactar empresas que usam uma solução do tipo.

“Os dados biométricos são referentes a uma pessoa física. A biometria é usada para votar ou fazer um saque no banco, por exemplo. Mas você não pode trocar a impressão digital como troca a senha de um e-mail quando há um episódio assim”, explica Henrique Poyatos, professor de Tecnologia da FIAP.

Um vazamento de dados sensíveis (como a impressão digital é considerada pela Lei Geral de Proteção de Dados – LGPD), traz consequências para todos os envolvidos. Tanto para os donos quanto para os guardiões desses dados.

Para as empresas, uma das consequências é o pagamento de multas por conta do vazamento. Já para os colaboradores e clientes, a dor de cabeça pode ser maior. Os hackers podem falsificar a biometria e se passar pela vítima, realizando extorsões, ameaças e outros crimes.

FIQUE POR DENTRO: Como será o seu acesso aos dispositivos da empresa em que trabalha?

Como a brecha de segurança foi encontrada

O site vpnMentor publicou um vídeo (em inglês) detalhando como a falha de segurança foi encontrada. Veja abaixo:

Os impactos de uma solução de biometria vulnerável

Informações de reconhecimento facial e de impressão digital não podem ser alteradas, então a empresa deve investir em várias camadas de segurança para evitar vazamentos. “Ela pode usar biometria junto com outras soluções que dificultem a identificação da pessoa”, comenta Poyatos.

No caso do BioStar 2, a Suprema não criava um hash da impressão digital (que não há como reverter ao dado original, como já mostramos no Mundo + Tech). Mas sim, a salvava “crua”, podendo ser copiada para fins maliciosos.

Com a biometria e os outros dados disponíveis no vazamento, os criminosos poderiam usar as informações para diversas atividades ilegais e variadas. O relatório do vpnMentor apontou como alguns incidentes de segurança poderiam impactar negativamente as empresas:

1. Aquisições de contas e violações de segurança

Uma brecha de segurança, como aconteceu com o BioStar 2, pode dar acesso completo a contas de administrador na solução de biometria. Isso permitiria fazer alterações de segurança na rede da empresa ou criar novas contas para obter acesso a áreas seguras de um prédio ou instalação.

2. Roubo (físico) e fraude na empresa

O roubo de biometria pode dar acesso completo ao prédio de uma organização, seja um comércio pequeno ou um escritório do governo. O hacker pode usar esse banco de dados para entrar em uma sala e pegar qualquer item de valor.

O vazamento também dá aos hackers a possibilidade de invadir redes corporativas, que podem não estar disponíveis no ambiente externo do prédio. Com isso, eles podem roubar informações valiosas, plantar vírus, monitorar e explorar sistemas.

3. Roubo de identidade e ameaça aos usuários

O vazamento do BioStar 2 continha muitos detalhes pessoais dos funcionários. Isso pode fazer com que colaboradores e clientes das empresas afetadas sejam alvos de fraudes e outros crimes.

A quantidade de informações pode ser usada para criar campanhas de phishing eficazes, assim como fornecer uma base sólida para ameaçar os usuários em busca de ganhos financeiros ilegais.

Os hackers também podem vender a informação (até mesmo as impressões digitais) na dark web. Isso levaria a diversas atividades criminosas e não rastreáveis, comprometendo os dados dos funcionários e clientes das empresas afetadas.

“Não há como trocar a impressão digital, mas clientes e usuários podem trocar algumas informações como senha de e-mails, do celular ou de outros serviços para dificultar a identificação deles”, aconselha Poyatos.

4. Chantagem e extorsão

Os criminosos podem chantagear ou extorquir executivos da empresa, que terão maior acesso e permissões aos ambientes e processos internos. Com as informações pessoais disponíveis, os hackers vão explorar esses profissionais com vulnerabilidades como família e relacionamento.

A segurança dos dados da biometria

Cloud seria a opção menos favorável a vazamentos, comenta Poyatos. Para o professor, “dependendo do volume de dados, é inviável guardar dentro da empresa, como em um data center, já que é uma solução que pode trazer outras brechas de segurança”, diz.

Ele sugere também outras camadas de segurança que vão dificultar a identificação dos usuários. “As empresas podem usar a biometria e mais um token no smartphone do funcionário. Mas elas devem criptografar e armazenar esses dados em servidores distintos.”

Poyatos afirma que todas as empresas devem se preocupar com a segurança dos dados. “Sabemos que o banco toma cuidado com a biometria, mas e uma academia? Ela usa esse reconhecimento para registrar a entrada de alunos, mas não é o core business dela. Talvez seja, depois que a LGPD entrar em vigor”.


Gestão de dados é determinante para eliminar gargalos dos call centers

Saiba mais


Matérias relacionadas

industria de chips Conectividade

Governo oferece R$ 100 milhões para estimular indústria de chips no Brasil

Edital Mais Inovação Semicondutores foi lançado pelo Ministério da Ciência, Tecnologia e Inovação e a Financiadora de Estudos e Projetos (Finep)

cidades mais inteligentes do Brasil Conectividade

Quais são as cidades mais inteligentes no Brasil

Entenda como o Ranking Connected Smart Cities avalia quais são as cidades mais inteligentes do Brasil e como elas estão evoluindo

5g em sp Conectividade

Regulação do 5G em SP avança para 242 cidades

Estado de São Paulo fecha 2023 com mais cidades legalizando a quinta geração de telefonia móvel

conectividade e inclusão digital Conectividade

Conectividade e inclusão digital estão no caminho das cidades inteligentes

Em 2023, 84% dos brasileiros tiveram acesso à internet, mas 29 milhões de pessoas ainda não têm conectividade