Tale piattaforma è ad oggi utilizzata da numerosi istituti bancari in tutto il mondo nonché dalla Polizia Britannica e da altre aziende private del segmento sicurezza. Si tratterebbe di oltre 1 milione di vittime per le quali si sono esposte in chiaro le password ed ulteriori informazioni non crittografate come i segni di riconoscimento del volto ed altri dati personali sensibili.
Il sistema di sicurezza in questione è stato sviluppato da Suprema, azienda IT Security che sfrutta i fattori di riconoscimento univoci della persona per l’accesso a determinati servizi ed edifici Il mese sorso la piattaforma è stata integrata in un altro sistema di accesso, AEOS, utilizzato da 5.700 organizzazioni in 83 Paesi.
I due ricercatori sono venuti a conoscenza del problema nel corso di una scansione di rete standard condotta la scorsa settimana. Si sono accorti che il database era pubblicamente disponibile e che manipolando gli URL ed i criteri di ricerca si poteva accedere a 28 milioni di record, per un totale di 23 GB di dati, comprese le impronte digitali, i dati di riconoscimento facciale, password e altre informazioni sensibili.
Secondo quanto dichiarato al The Guardian si può ottenere la modifica dei dati e l’aggiunta di nuovi utenti in grado di aggiungere qualsiasi impronta al database di qualsiasi struttura. Ma il fatto grave non consiste nella vastità dei dati quanto piuttosto nella loro stessa natura che avrà ripercussioni negative anche in futuro. Se cambiare un password è facile, infatti, lo stesso non si può dire per una impronta digitale.
Secondo le ricostruzioni, il team ha fatto numerosi tentativi per entrare in contatto con Suprema prima di divulgare la notizia. Non ha mai ottenuto risposta, se non dal responsabile marketing, Andy Ahn che in una sua dichiarazione riporta di aver avviato una valutazione approfondita della vicenda per una vulnerabilità che, tuttavia, resta ancora non corretta.