Um banco de dados contendo digitais de mais de 1 milhão de pessoas, juntamente com seus dados de reconhecimento facial e login foram disponibilizados publicamente, conforme descoberto na semana passada pelos pesquisadores da firma de segurança cibernética vpnMentor.
De acordo com o relatório lançado em Agosto, a empresa de segurança sul-coreana Suprema expôs dados biométricos que a polícia metropolitana do Reino Unido, bancos, prestadores de serviços de defesa, academias e lojas de suprimentos médicos utilizavam para permitir o acesso ao prédio a funcionários e clientes.
Não está claro por quanto tempo os dados ficaram expostos, mas o sistema de segurança da Suprema iniciou boa parte da integração dos dados de sua antiga plataforma em Julho, quando provavelmente se iniciou a brecha.
Ainda não há indicação de que um terceiro não autorizado realmente tenha roubado algum dos dados. Não obstante, é algo para se preocupar. “Informações de reconhecimento facial e digitais não podem ser alteradas”, o relatório adiciona. “Uma vez que são roubados, não é possível desfazê-lo”.
No entanto, há uma diferença entre suas informações de reconhecimento facial e suas digitais estarem soltas pelo mundo e algum ator mal-intencionado de fato colocá-las à uso. Em sua matéria sobre um hackeamento de dados biométricos na Alfândega e Proteção de Fronteira dos EUA em Junho, Jane C. Hu, repórter da Slate, escreveu sobre haver pouco que um hacker possa fazer hoje em dia com estes dados. Pesquisadores utilizaram previamente dados biométricos para fazer máscaras 3D e vídeos em loop, que podem enganar sistemas de reconhecimento facial. É improvável, porém, que um atacante mediano gastará o dinheiro e o tempo necessários para executar um plano tão elaborado.
Mas o caso das digitais do banco de dados da Suprema é um pouco diferente. Hackers poderiam utilizar as digitais roubadas para invadir um sistema de segurança mais rudimentar. Um sistema mais avançado também seria possível, se eles tivessem tempo e dinheiro à sua disposição.
Há muitas formas de enganar leitores de digitais, de acordo com Anil Jain que lidera o grupo de Pesquisas Biométricas na Universidade do Estado de Michigan. “Esta brecha de segurança em particular é grave, porque não apenas as digitais foram expostas, como também os metadados” – isto é, as identidades associadas e informações de login. Digitais roubadas são mais úteis aos hackers se elas também tiverem estas informações, já que sistemas de segurança com duplo fator frequentemente requerem ambos – senha e escaneamento de digitais. Os pesquisadores da vpnMentor observaram ainda que se a Suprema tivesse usado um hash ou encriptação nas imagens das digitais, os dados seriam menos úteis para os criminosos. Jain diz que a Suprema pode ter optado por não usar hash em função da qualidade das imagens, que pode ficar inferior após o processo.
A quantidade de esforço que um hacker precisaria para invadir um prédio ou uma conta utilizando uma impressão digital roubada depende da sofisticação do sistema de segurança. Alguns dos scanners menos avançados aceitarão, de fato, uma foto da digital que tenha sido impressa. Em 2016, Jain auxiliou investigadores em Lansing, Michigan, a invadir o telefone Samsing Galaxy S6 de um criminoso imprimindo a digital em um pedaço de papel fotográfico, que é feito de material sensível à luz. Papel fotográfico é melhor para renderizar a altura de cumes e ranhuras de uma impressão digital, o que é geralmente aquilo no qual os escaneamentos se baseiam para identificar uma pessoa. Este método também funcionou em um Huawei Honor 7, mas Jain não foi capaz de obter resultados consistentes para o iPhone 5S (embora um hacker na Alemanha alegue ter sido possível invadir um utilizando a digital obtida da superfície de um copo de água).
Você precisaria comprar uma impressora 3D para enganar leitores mais sofisticados. Em 2017, Jain utilizou uma para criar um molde 3D com base em uma imagem de impressão digital. A equipe dele então enxertou a digital em um dedo falso, feito de silicone, projetado para enganar vários tipos de scanners.
Scanners capacitivos, por exemplo, utilizam correntes elétricas e condutividade da pele para criar uma imagem de digital, enquanto scanners de ultrassom pressionam um pulso ultrassônico contra o dedo. O escaneamento óptico essencialmente tira uma foto de sua digital e tenta combiná-la com a que está registrada no arquivo. A digital falsa de Jain tinha as propriedades necessárias para enganar esses vários métodos de autenticação. No entanto, isso custou centenas de milhares de dólares para ser desenvolvido, provavelmente não existam muitos hackers por aí dispostos a fazer dedos falsos viáveis.
Os pesquisadores da vpnMentor apontaram em seu relatório que existe uma maneira mais fácil e menos cara de manipular o banco de dados de digitais para fins criminais. Hackers poderiam simplesmente tentar criar uma nova conta de usuário na base e adicionar suas próprias digitais – o que permitiria acesso aos prédios sem ter que passar pelo trabalho de copiar os dados biométricos.
É um jogo de gato e rato, diz Jain. “Os fornecedores estão tentando tornar seus leitores de impressão digital mais resistentes a diferentes tipos de falsificações. Ao mesmo tempo, invasores também estão ficando mais espertos e tentando pensar em novas maneiras de invadir um leitor de impressão digital. Você jamais pode tornar um mecanismo de segurança totalmente infalível.
Traduzido e adaptado de The Wire. What Can a Hacker Do With Your Stolen Fingerprints? MAK, Aaron. Disponível em: <https://thewire.in/tech/fingerprint-theft-facial-recognition-vpnmentor>. Acesso em: 12 de Setembro de 2019.