Даследчыкі з кампаніі vpnMentor
Уцечку пагаршае тое, што большая частка БД не была зашыфраваная і, акрамя персанальных дадзеных (ПІБ, тэлефон, email, хатні адрас, пасада, час прыёму на працу і да т.п.), лога доступу карыстальнікаў сістэмы, адкрытых пароляў (без хэшавання) і дадзеных аб мабільных прыладах, уключала фатаграфіі асоб і здымкі адбіткаў пальцаў, якія выкарыстоўваюцца для біяметрычнай ідэнтыфікацыі карыстальніка.
Усяго ў БД выяўлена больш за мільён зыходных сканаў адбіткаў пальцаў, звязаных з канкрэтнымі людзьмі. Наяўнасць адчыненых здымкаў адбіткаў пальцаў, якія немагчыма памяняць, дае магчымасць зламыснікам падрабіць адбітак па шаблоне і скарыстацца ім для абыходу сістэм абмежавання доступу або для пакідання ілжывых слядоў. Асобна звяртаецца ўвага на якасць пароляў, сярод якіх вельмі шмат трывіяльных, выгляду "Password" і "abcd1234".
Больш за тое, бо база ўключала і ўліковыя дадзеныя адміністратараў BioStar 2, у выпадку нападу зламыснікі маглі атрымаць поўны доступ да web-інтэрфейсу сістэмы і выкарыстоўваць яго для дадання, рэдагаванні і выдаленні запісаў. Напрыклад, маглі падмяніць дадзеныя аб адбітку пальцаў для атрымання фізічнага доступу, змяніць правы доступу і выдаліць з логаў сляды пранікнення.
Характэрна, што праблема была выяўлена 5 жніўня, але затым некалькі дзён было выдаткавана на тое, каб данесці інфармацыю да стваральнікаў BioStar 2, якія не жадалі выслухоўваць даследнікаў. Нарэшце 7 жніўня інфармацыя была даведзена да кампаніі, але праблема была ўхіленая толькі 13 жніўня. Даследнікі выявілі БД у рамках праекту па сканаванні сетак і аналізу даступных web-сэрвісаў. Невядома, наколькі доўга БД заставалася ў адкрытым доступе і ці ведалі аб яе існаванні зламыснікі.
Крыніца: opennet.ru