Navorsers van vpnMentor die moontlikheid van oop toegang tot die databasis, wat meer as 27.8 miljoen rekords (23 GB data) geberg het wat verband hou met die werking van die biometriese toegangsbeheerstelsel , wat ongeveer 1.5 miljoen installasies wêreldwyd het en geïntegreer is in die AEOS-platform, wat deur meer as 5700 83 organisasies in XNUMX lande gebruik word, insluitend groot korporasies en banke, sowel as regeringsagentskappe en polisiedepartemente. Die lekkasie is veroorsaak deur die verkeerde opstelling van die Elasticsearch-berging, wat deur enigiemand leesbaar blyk te wees.
Die lekkasie word vererger deur die feit dat die meeste van die databasis nie geënkripteer is nie en, benewens persoonlike data (naam, telefoon, e-pos, huisadres, posisie, tyd van huur, ens.), stelselgebruikerstoegangslogboeke, oop wagwoorde ( sonder hashing) en mobiele toesteldata, insluitend gesigfoto's en vingerafdrukbeelde wat gebruik word vir biometriese gebruikeridentifikasie.
In totaal het die databasis meer as 'n miljoen oorspronklike vingerafdrukskanderings geïdentifiseer wat met spesifieke mense geassosieer word. Die teenwoordigheid van oop beelde van vingerafdrukke wat nie verander kan word nie, maak dit vir aanvallers moontlik om 'n vingerafdruk te vervals met 'n sjabloon en dit te gebruik om toegangsbeheerstelsels te omseil of vals spore te laat. Spesiale aandag word gegee aan die kwaliteit van wagwoorde, waaronder daar baie onbenulliges is, soos "Wagwoord" en "abcd1234".
Verder, aangesien die databasis ook die geloofsbriewe van BioStar 2-administrateurs ingesluit het, kon aanvallers in die geval van 'n aanval volle toegang tot die stelsel se webkoppelvlak kry en dit gebruik om rekords by te voeg, te wysig en uit te vee. Hulle kan byvoorbeeld vingerafdrukdata vervang om fisiese toegang te verkry, toegangsregte te verander en spore van indringing uit logs te verwyder.
Dit is opmerklik dat die probleem op 5 Augustus geïdentifiseer is, maar toe is etlike dae daaraan bestee om inligting aan die skeppers van BioStar 2 oor te dra, wat nie na die navorsers wou luister nie. Uiteindelik, op 7 Augustus, is die inligting aan die maatskappy gekommunikeer, maar die probleem is eers op 13 Augustus opgelos. Navorsers het die databasis geïdentifiseer as deel van 'n projek om netwerke te skandeer en beskikbare webdienste te ontleed. Dit is onbekend hoe lank die databasis in die publieke domein gebly het en of die aanvallers geweet het van die bestaan daarvan.
Bron: opennet.ru