Istraživači iz vpnMentor mogućnost otvorenog pristupa bazi podataka u kojoj je pohranjeno više od 27.8 miliona zapisa (23 GB podataka) vezanih za rad biometrijskog sistema kontrole pristupa , koji ima oko 1.5 miliona instalacija širom svijeta i integriran je u AEOS platformu, a koristi ga više od 5700 organizacija u 83 zemlje, uključujući velike korporacije i banke, kao i vladine agencije i policijske uprave. Curenje je uzrokovano neispravnom konfiguracijom Elasticsearch skladišta, za koju se ispostavilo da je bilo ko čitljiv.
Curenje je otežano činjenicom da većina baze podataka nije šifrovana i, pored ličnih podataka (ime, telefon, e-mail, kućna adresa, pozicija, vrijeme zapošljavanja, itd.), evidencije pristupa korisnika sistemu, otvorene lozinke ( bez heširanja) i podatke mobilnog uređaja, uključujući fotografije lica i slike otisaka prstiju koji se koriste za biometrijsku identifikaciju korisnika.
Ukupno, baza podataka je identifikovala više od milion originalnih skeniranja otisaka prstiju povezanih sa određenim ljudima. Prisustvo otvorenih slika otisaka prstiju koji se ne mogu mijenjati omogućava napadačima da lažiraju otisak prsta pomoću šablona i koriste ga da zaobiđu sisteme kontrole pristupa ili ostave lažne tragove. Posebna pažnja posvećena je kvalitetu lozinki, među kojima ima dosta trivijalnih, kao što su „Lozinka“ i „abcd1234“.
Štaviše, budući da je baza podataka uključivala i akreditive BioStar 2 administratora, u slučaju napada, napadači su mogli dobiti potpuni pristup web interfejsu sistema i koristiti ga za dodavanje, uređivanje i brisanje zapisa. Na primjer, mogli bi zamijeniti podatke o otisku prsta kako bi dobili fizički pristup, promijenili prava pristupa i uklonili tragove upada iz dnevnika.
Važno je napomenuti da je problem identifikovan 5. avgusta, ali je potom nekoliko dana utrošeno na prenošenje informacija kreatorima BioStara 2, koji nisu hteli da slušaju istraživače. Konačno, 7. avgusta, informacija je saopštena kompaniji, ali je problem rešen tek 13. avgusta. Istraživači su identificirali bazu podataka kao dio projekta za skeniranje mreža i analizu dostupnih web usluga. Nije poznato koliko dugo je baza podataka bila u javnom vlasništvu i da li su napadači znali za njeno postojanje.
izvor: opennet.ru