باحثون من vpnMentor
يتفاقم التسرب بسبب حقيقة أن معظم قاعدة البيانات لم تكن مشفرة، بالإضافة إلى البيانات الشخصية (الاسم والهاتف والبريد الإلكتروني وعنوان المنزل والمنصب ووقت التوظيف وما إلى ذلك)، وسجلات وصول مستخدم النظام، وكلمات المرور المفتوحة ( بدون تجزئة) وبيانات الجهاز المحمول، بما في ذلك صور الوجه وصور بصمات الأصابع المستخدمة لتحديد هوية المستخدم البيومترية.
في المجمل، حددت قاعدة البيانات أكثر من مليون عملية مسح أصلية لبصمات الأصابع مرتبطة بأشخاص محددين. إن وجود صور مفتوحة لبصمات الأصابع التي لا يمكن تغييرها يجعل من الممكن للمهاجمين تزييف بصمة الإصبع باستخدام قالب واستخدامها لتجاوز أنظمة التحكم في الوصول أو ترك آثار زائفة. يتم إيلاء اهتمام خاص لجودة كلمات المرور، والتي يوجد من بينها الكثير من الكلمات التافهة، مثل “Password” و”abcd1234”.
علاوة على ذلك، نظرًا لأن قاعدة البيانات تتضمن أيضًا بيانات اعتماد مسؤولي BioStar 2، في حالة وقوع هجوم، يمكن للمهاجمين الوصول الكامل إلى واجهة الويب الخاصة بالنظام واستخدامها لإضافة السجلات وتحريرها وحذفها. على سبيل المثال، يمكنهم استبدال بيانات بصمات الأصابع للحصول على وصول فعلي وتغيير حقوق الوصول وإزالة آثار التطفل من السجلات.
يشار إلى أنه تم تحديد المشكلة في 5 أغسطس، ولكن بعد ذلك تم قضاء عدة أيام في نقل المعلومات إلى مبدعي BioStar 2، الذين لم يرغبوا في الاستماع إلى الباحثين. أخيرًا، في 7 أغسطس، تم إرسال المعلومات إلى الشركة، ولكن تم حل المشكلة فقط في 13 أغسطس. حدد الباحثون قاعدة البيانات كجزء من مشروع لمسح الشبكات وتحليل خدمات الويب المتاحة. ومن غير المعروف كم من الوقت ظلت قاعدة البيانات في المجال العام وما إذا كان المهاجمون على علم بوجودها.
المصدر: opennet.ru