Investigadors de vpnMentor la possibilitat d'accés obert a la base de dades, que emmagatzemava més de 27.8 milions de registres (23 GB de dades) relacionats amb el funcionament del sistema de control d'accés biomètric , que té aproximadament 1.5 milions d'instal·lacions a tot el món i està integrada a la plataforma AEOS, utilitzada per més de 5700 organitzacions de 83 països, incloses grans corporacions i bancs, així com agències governamentals i departaments de policia. La filtració va ser causada per una configuració incorrecta de l'emmagatzematge d'Elasticsearch, que va resultar llegible per tothom.
La filtració s'agreuja pel fet que la major part de la base de dades no estava xifrada i, a més de les dades personals (nom, telèfon, correu electrònic, adreça de casa, posició, hora de contractació, etc.), registres d'accés dels usuaris del sistema, contrasenyes obertes ( sense hashing) i dades de dispositius mòbils, incloses fotografies facials i imatges d'empremtes digitals utilitzades per a la identificació biomètrica dels usuaris.
En total, la base de dades ha identificat més d'un milió d'empremtes digitals originals associades a persones específiques. La presència d'imatges obertes d'empremtes dactilars que no es poden canviar fa possible que els atacants falsifiquen una empremta digital mitjançant una plantilla i l'utilitzin per evitar els sistemes de control d'accés o deixar rastres falsos. Es presta especial atenció a la qualitat de les contrasenyes, entre les quals n'hi ha moltes de trivials, com ara "Contrasenya" i "abcd1234".
A més, com que la base de dades també incloïa les credencials dels administradors de BioStar 2, en cas d'atac, els atacants podien obtenir accés complet a la interfície web del sistema i utilitzar-la per afegir, editar i eliminar registres. Per exemple, podrien substituir les dades d'empremtes digitals per obtenir accés físic, canviar els drets d'accés i eliminar rastres d'intrusió dels registres.
Cal destacar que el problema es va identificar el 5 d'agost, però després es van dedicar diversos dies a transmetre informació als creadors de BioStar 2, que no van voler escoltar els investigadors. Finalment, el 7 d'agost es va comunicar la informació a l'empresa, però el problema només es va resoldre el 13 d'agost. Els investigadors van identificar la base de dades com a part d'un projecte per escanejar xarxes i analitzar els serveis web disponibles. Es desconeix quant de temps va romandre la base de dades en el domini públic i si els atacants sabien de la seva existència.
Font: opennet.ru