O que um hacker pode fazer com suas impressões digitais roubadas?

Views: 1008
0 0
Read Time:4 Minute, 27 Second

Um banco de dados contendo as impressões digitais de 1 milhão de pessoas, juntamente com dados de reconhecimento facial e login, foi disponibilizado publicamente, descobriram pesquisadores da firma de segurança cibernética israelense na semana passada. De acordo com o relatório da vpnmentor divulgado na quarta-feira, a empresa de segurança sul-coreana Suprema expôs dados biométricos que a polícia britânica, bancos, empresas de defesa, academias e lojas de suprimentos médicos usam para permitir que funcionários e clientes acessem prédios. Não está claro por quanto tempo esses dados foram expostos, mas o sistema de segurança da Suprema começou a integrar grande parte dos dados em julho.

Não há indicação de que um terceiro não autorizado tenha realmente roubado algum dos dados. Ainda é preocupante, no entanto. “O reconhecimento facial e a informação da impressão digital não podem ser alterados”, diz o relatório. “Uma vez que eles são roubados, não podem ser desfeitos.”

Mas há uma diferença entre suas informações de reconhecimento facial e suas informações de impressões digitais no mundo, esperando que um ator nefasto as coloque em bom uso. Em seu artigo sobre um corte biométrico na Alfândega e Proteção de Fronteiras dos EUA em junho, Jane C. Hu, do Slate, escreveu que não há muito que um ator nefasto possa fazer agora com dados de reconhecimento facial roubados. Pesquisadores já usaram dados biométricos para fazer máscaras 3D e vídeos em loop, que podem enganar os sistemas de reconhecimento facial. É improvável, no entanto, que o hacker comum gaste o dinheiro e o tempo necessários para executar um truque tão elaborado.

Mas os dados das impressões digitais no banco de dados do Suprema são ligeiramente diferentes. Os hackers poderiam usar uma impressão digital roubada para invadir um sistema de segurança bastante rudimentar. Um sistema mais avançado também pode ser possível, se eles tiverem muito tempo e dinheiro à sua disposição.

Há várias maneiras de enganar leitores de impressão digital, de acordo com Anil Jain, que lidera o Grupo de Pesquisa em Biometria da Universidade Estadual de Michigan. “Essa violação de dados em particular é séria, porque não apenas as impressões digitais dos indivíduos foram expostas, mas também os metadados”, ou seja, as identidades associadas e as informações de login. As impressões digitais roubadas são mais úteis para os hackers se elas também tiverem essas informações, já que os sistemas de segurança de dois fatores geralmente exigem senhas convencionais e digitalizações de impressões digitais. Os pesquisadores mais recentes notaram que, se a Suprema tivesse “criptografado” ou criptografado as imagens das impressões digitais, os dados teriam sido menos úteis para os criminosos. Jain diz que a Suprema pode ter decidido não alterar as impressões digitais porque a qualidade das imagens pode degradar através do processo de criptografia.

A quantidade de esforço que um hacker precisa para invadir um prédio ou conta usando uma impressão digital roubada depende da sofisticação do sistema de segurança. Alguns dos scanners menos avançados aceitam a foto de uma impressão digital que foi impressa. Em 2016, Jain ajudou investigadores em Lansing, Michigan, a invadir o celular de um criminoso Samsung Galaxy S6, imprimindo a impressão digital em um pedaço de papel fotográfico, que é feito de material sensível à luz. O papel fotográfico é melhor em renderizar a altura dos sulcos e vales em uma impressão digital, que é o que os scanners geralmente confiam para identificar uma pessoa. Este método também funcionou no Huawei Honor 7, mas a Jain não conseguiu obter resultados consistentes para o iPhone 5S. (Um coletivo de hackers na Alemanha alega ter conseguido invadir um iPhone 5S ao tirar uma impressão digital de uma superfície de vidro.)

Você teria que comprar uma impressora 3D para enganar um leitor de impressão digital mais sofisticado. Em 2017, Jain usou uma impressora para criar um molde 3D com base em uma imagem de impressão digital. Sua equipe então enxertou a impressão digital em um dedo falso feito de silicone, que foi projetado para enganar vários tipos de scanners. Os scanners capacitivos, por exemplo, usam correntes elétricas e a condutividade da pele para criar uma imagem de impressão digital, enquanto os scanners de ultra-som pressionam um pulso ultrassônico contra o dedo. Os scanners ópticos basicamente tiram uma foto de uma impressão digital e tentam igualá-la àquela registrada. O dedo falso de Jain tinha as propriedades necessárias para enganar esses vários tipos de métodos de autenticação. No entanto, custou centenas de milhares de dólares para se desenvolver, então provavelmente não há muitos hackers por aí fazendo dedos falsos e viáveis.

Os pesquisadores observadores notam em seu relatório que existe uma maneira mais fácil e menos dispendiosa de manipular um banco de dados de impressões digitais para fins criminosos. Os hackers poderiam apenas criar novas contas de usuário no banco de dados e inserir suas próprias impressões digitais, o que permitiria que eles acessassem os prédios sem ter que se dar ao trabalho de copiar os dados biométricos.

“É um jogo de gato e rato”, diz Jain. “Os fornecedores estão tentando tornar seus leitores de impressões digitais mais resistentes a diferentes tipos de falsificações. Ao mesmo tempo, os hackers também estão ficando mais inteligentes e tentando pensar em novas maneiras de invadir um leitor de impressões digitais. Você nunca pode tornar qualquer mecanismo de segurança infalível. ”

FONTE: https://thewire.in/tech/fingerprint-theft-facial-recognition-vpnmentor

POSTS RELACIONADOS