باحثون من vpnMentor إمكانية الوصول المفتوح إلى قاعدة البيانات، التي خزنت أكثر من 27.8 مليون سجل (23 جيجابايت من البيانات) المتعلقة بتشغيل نظام التحكم في الوصول البيومتري ، والتي لديها ما يقرب من 1.5 مليون منشأة في جميع أنحاء العالم وهي مدمجة في منصة AEOS، التي تستخدمها أكثر من 5700 مؤسسة في 83 دولة، بما في ذلك الشركات الكبرى والبنوك، بالإضافة إلى الوكالات الحكومية وإدارات الشرطة. حدث التسرب بسبب التكوين غير الصحيح لوحدة تخزين Elasticsearch، والتي تبين أنها قابلة للقراءة من قبل أي شخص.
يتفاقم التسرب بسبب حقيقة أن معظم قاعدة البيانات لم تكن مشفرة، بالإضافة إلى البيانات الشخصية (الاسم والهاتف والبريد الإلكتروني وعنوان المنزل والمنصب ووقت التوظيف وما إلى ذلك)، وسجلات وصول مستخدم النظام، وكلمات المرور المفتوحة ( بدون تجزئة) وبيانات الجهاز المحمول، بما في ذلك صور الوجه وصور بصمات الأصابع المستخدمة لتحديد هوية المستخدم البيومترية.
في المجمل، حددت قاعدة البيانات أكثر من مليون عملية مسح أصلية لبصمات الأصابع مرتبطة بأشخاص محددين. إن وجود صور مفتوحة لبصمات الأصابع التي لا يمكن تغييرها يجعل من الممكن للمهاجمين تزييف بصمة الإصبع باستخدام قالب واستخدامها لتجاوز أنظمة التحكم في الوصول أو ترك آثار زائفة. يتم إيلاء اهتمام خاص لجودة كلمات المرور، والتي يوجد من بينها الكثير من الكلمات التافهة، مثل “Password” و”abcd1234”.
علاوة على ذلك، نظرًا لأن قاعدة البيانات تتضمن أيضًا بيانات اعتماد مسؤولي BioStar 2، في حالة وقوع هجوم، يمكن للمهاجمين الوصول الكامل إلى واجهة الويب الخاصة بالنظام واستخدامها لإضافة السجلات وتحريرها وحذفها. على سبيل المثال، يمكنهم استبدال بيانات بصمات الأصابع للحصول على وصول فعلي وتغيير حقوق الوصول وإزالة آثار التطفل من السجلات.
يشار إلى أنه تم تحديد المشكلة في 5 أغسطس، ولكن بعد ذلك تم قضاء عدة أيام في نقل المعلومات إلى مبدعي BioStar 2، الذين لم يرغبوا في الاستماع إلى الباحثين. أخيرًا، في 7 أغسطس، تم إرسال المعلومات إلى الشركة، ولكن تم حل المشكلة فقط في 13 أغسطس. حدد الباحثون قاعدة البيانات كجزء من مشروع لمسح الشبكات وتحليل خدمات الويب المتاحة. ومن غير المعروف كم من الوقت ظلت قاعدة البيانات في المجال العام وما إذا كان المهاجمون على علم بوجودها.
المصدر: opennet.ru