vpnMentor tədqiqatçıları biometrik girişə nəzarət sisteminin işləməsi ilə bağlı 27.8 milyondan çox qeydi (23 GB məlumat) saxlayan verilənlər bazasına açıq giriş imkanı. , dünya üzrə təxminən 1.5 milyon qurğuya malik olan və AEOS platformasına inteqrasiya olunmuş, iri korporasiyalar və banklar, həmçinin dövlət qurumları və polis idarələri də daxil olmaqla 5700 ölkədə 83-dən çox təşkilat tərəfindən istifadə olunur. Sızma hər kəs tərəfindən oxuna bilən Elasticsearch yaddaşının səhv konfiqurasiyası nəticəsində baş verib.
Sızma, verilənlər bazasının çoxunun şifrələnməməsi və şəxsi məlumatlara əlavə olaraq (tam ad, telefon, e-poçt, ev ünvanı, vəzifə, işə qəbul vaxtı və s.), sistem istifadəçisinin giriş jurnalları, açıq parollar ilə ağırlaşır. (hashing olmadan) və mobil cihaz məlumatları, biometrik istifadəçi identifikasiyası üçün istifadə edilən üz fotoşəkilləri və barmaq izi şəkilləri daxildir.
Ümumilikdə verilənlər bazası konkret insanlarla əlaqəli bir milyondan çox orijinal barmaq izi skanını müəyyən edib. Dəyişdirilə bilməyən açıq barmaq izlərinin təsvirlərinin olması təcavüzkarlara şablondan istifadə edərək barmaq izini saxtalaşdırmağa və ondan girişə nəzarət sistemlərini yan keçmək və ya saxta izlər buraxmaq üçün istifadə etməyə imkan verir. Parolların keyfiyyətinə xüsusi diqqət yetirilir, onların arasında "Parol" və "abcd1234" kimi mənasız olanlar da var.
Üstəlik, verilənlər bazasına BioStar 2 administratorlarının etimadnaməsi də daxil olduğundan, hücum zamanı təcavüzkarlar sistemin veb interfeysinə tam giriş əldə edə və qeydləri əlavə etmək, redaktə etmək və silmək üçün ondan istifadə edə bilərdilər. Məsələn, fiziki giriş əldə etmək, giriş hüquqlarını dəyişdirmək və loglardan müdaxilə izlərini silmək üçün barmaq izi məlumatlarını əvəz edə bilərlər.
Maraqlıdır ki, problem avqustun 5-də müəyyən edilib, lakin sonra bir neçə gün ərzində tədqiqatçıları dinləmək istəməyən BioStar 2-nin yaradıcılarına məlumat çatdırılıb. Nəhayət, avqustun 7-də məlumat şirkətə çatdırılsa da, problem yalnız avqustun 13-də aradan qaldırılıb. Tədqiqatçılar verilənlər bazasını şəbəkələrin skan edilməsi və mövcud veb xidmətlərin təhlili layihəsinin bir hissəsi kimi müəyyən ediblər. Məlumat bazasının nə qədər müddət ərzində ictimai sahədə qaldığı və təcavüzkarların onun varlığından xəbəri olub-olmadığı məlum deyil.
Mənbə: opennet.ru