Una falla de seguridad de FacePass expone los datos de identificación

Iniciado por AXCESS, Marzo 26, 2025, 04:06:53 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 26, 2025, 04:06:53 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

FacePass, una aplicación de identificación centrada en Brasil, ha filtrado más de 1,6 millones de archivos, exponiendo a los usuarios y las credenciales del sistema de la empresa.

El equipo de investigación de Cybernews descubrió recientemente un bucket de AWS S3 expuesto perteneciente a FacePass, que filtraba archivos confidenciales de clientes y empresas.

FacePass se usa ampliamente en Brasil para comprar entradas y asistir a eventos en el quinto país más grande del mundo. La aplicación utiliza tecnología de reconocimiento facial, que requiere que los usuarios carguen selfies y documentos de identidad nacionales, y la aplicación confirma si hay coincidencias.

"Esta gran cantidad de datos expuestos expone a los usuarios a un riesgo significativo de robo de identidad, fraude financiero y ataques de phishing dirigidos. Los ciberdelincuentes podrían usar los documentos de identidad nacionales y las selfies para eludir los sistemas de verificación biométrica, suplantar la identidad de las víctimas u obtener acceso no autorizado a cuentas financieras", afirmaron nuestros investigadores.

La empresa ha solucionado el problema tras ser contactada por nuestro equipo.

¿Qué datos de FacePass se filtraron?

Según el equipo, la instancia expuesta contenía numerosos registros sensibles, como:

Documentos de identidad brasileños

Selfies para verificación de identidad

ID de clave de acceso de AWS y otros secretos

Nombres completos

Números de CPF (registro de contribuyentes brasileño)

Números de teléfono

Los investigadores creen que hay datos más que suficientes para que los atacantes cometan robo de identidad. Esto no es sorprendente, ya que la mayor parte de la información que recopila FacePass está destinada precisamente a la verificación de identidad.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


"Los ciberdelincuentes pueden combinar datos de identificación nacional con selfis para eludir los sistemas de verificación biométrica, lo que permite el fraude financiero o el acceso no autorizado a cuentas sensibles", afirmaron los investigadores.

Además, los atacantes podrían preparar ataques de phishing convincentes, aprovechando los datos personales filtrados. Por ejemplo, los actores maliciosos podrían crear correos electrónicos o mensajes convincentes diseñados para robar información sensible adicional o dinero de los usuarios.

"Los ciberdelincuentes pueden combinar datos de identificación nacional con selfis para eludir los sistemas de verificación biométrica, lo que permite el fraude financiero o el acceso no autorizado a cuentas sensibles".

Otro riesgo importante derivado de la filtración de datos afecta a la propia empresa. Dado que la base de datos expuesta contenía credenciales de AWS, los atacantes podrían acceder sin autorización a los sistemas de la empresa, lo que permitiría a los ciberdelincuentes extraer, modificar y eliminar datos confidenciales.

Como algunos nombres, números SPF y números de teléfono estaban almacenados en un solo archivo, los atacantes podrían reutilizarlo para campañas de fraude o incluso venderlo en la dark web.

«Los datos personales de los archivos de Excel filtrados permiten orquestar esquemas de phishing personalizados o estafas telefónicas, donde los atacantes pueden suplantar la identidad de FacePass u otras entidades de confianza para extraer más información confidencial o pagos», declaró el equipo.

Para evitar problemas similares en el futuro, nuestros investigadores recomiendan a FacePass:

Modificar los controles de acceso para restringir el acceso público y proteger el bucket. Actualizar los permisos para garantizar que solo los usuarios o servicios autorizados tengan el acceso necesario.

Supervisar retrospectivamente los registros de acceso para evaluar si el bucket ha sido accedido por actores no autorizados.

Habilitar el cifrado del lado del servidor para proteger los datos en reposo. Utilice el Servicio de Administración de Claves (KMS) de AWS para gestionar las claves de cifrado de forma segura.

Considere implementar las mejores prácticas de seguridad, como auditorías periódicas, comprobaciones de seguridad automatizadas y formación de empleados.

Fuga descubierta: 30 de enero de 2025

Divulgación inicial: 30 de enero de 2025

Contacto con el CERT: 30 de enero de 2025

Fuga cerrada: 19 de febrero de 2025

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario