Даследчыкі з кампаніі vpnMentor магчымасць адкрытага доступу да БД, у якой захоўвалася больш за 27.8 млн запісаў (23 Гб дадзеных), звязаных з працай сістэмы біяметрычнага кантролю доступу , якая налічвае каля 1.5 млн установак па ўсім свеце і інтэграваная ў платформу AEOS, якая ўжываецца больш за 5700 арганізацыямі ў 83 краінах, уключаючы як буйныя карпарацыі і слоікі, так і ўрадавыя ўстановы і паліцыянты ўчасткі. Уцечка выклікана некарэктнай наладай сховішчы Elasticsearch, якое аказалася даступна на чытанне ўсім жадаючым.
Уцечку пагаршае тое, што большая частка БД не была зашыфраваная і, акрамя персанальных дадзеных (ПІБ, тэлефон, email, хатні адрас, пасада, час прыёму на працу і да т.п.), лога доступу карыстальнікаў сістэмы, адкрытых пароляў (без хэшавання) і дадзеных аб мабільных прыладах, уключала фатаграфіі асоб і здымкі адбіткаў пальцаў, якія выкарыстоўваюцца для біяметрычнай ідэнтыфікацыі карыстальніка.
Усяго ў БД выяўлена больш за мільён зыходных сканаў адбіткаў пальцаў, звязаных з канкрэтнымі людзьмі. Наяўнасць адчыненых здымкаў адбіткаў пальцаў, якія немагчыма памяняць, дае магчымасць зламыснікам падрабіць адбітак па шаблоне і скарыстацца ім для абыходу сістэм абмежавання доступу або для пакідання ілжывых слядоў. Асобна звяртаецца ўвага на якасць пароляў, сярод якіх вельмі шмат трывіяльных, выгляду "Password" і "abcd1234".
Больш за тое, бо база ўключала і ўліковыя дадзеныя адміністратараў BioStar 2, у выпадку нападу зламыснікі маглі атрымаць поўны доступ да web-інтэрфейсу сістэмы і выкарыстоўваць яго для дадання, рэдагаванні і выдаленні запісаў. Напрыклад, маглі падмяніць дадзеныя аб адбітку пальцаў для атрымання фізічнага доступу, змяніць правы доступу і выдаліць з логаў сляды пранікнення.
Характэрна, што праблема была выяўлена 5 жніўня, але затым некалькі дзён было выдаткавана на тое, каб данесці інфармацыю да стваральнікаў BioStar 2, якія не жадалі выслухоўваць даследнікаў. Нарэшце 7 жніўня інфармацыя была даведзена да кампаніі, але праблема была ўхіленая толькі 13 жніўня. Даследнікі выявілі БД у рамках праекту па сканаванні сетак і аналізу даступных web-сэрвісаў. Невядома, наколькі доўга БД заставалася ў адкрытым доступе і ці ведалі аб яе існаванні зламыснікі.
Крыніца: opennet.ru