Investigadors de vpnMentor
La filtració s'agreuja pel fet que la major part de la base de dades no estava xifrada i, a més de les dades personals (nom, telèfon, correu electrònic, adreça de casa, posició, hora de contractació, etc.), registres d'accés dels usuaris del sistema, contrasenyes obertes ( sense hashing) i dades de dispositius mòbils, incloses fotografies facials i imatges d'empremtes digitals utilitzades per a la identificació biomètrica dels usuaris.
En total, la base de dades ha identificat més d'un milió d'empremtes digitals originals associades a persones específiques. La presència d'imatges obertes d'empremtes dactilars que no es poden canviar fa possible que els atacants falsifiquen una empremta digital mitjançant una plantilla i l'utilitzin per evitar els sistemes de control d'accés o deixar rastres falsos. Es presta especial atenció a la qualitat de les contrasenyes, entre les quals n'hi ha moltes de trivials, com ara "Contrasenya" i "abcd1234".
A més, com que la base de dades també incloïa les credencials dels administradors de BioStar 2, en cas d'atac, els atacants podien obtenir accés complet a la interfície web del sistema i utilitzar-la per afegir, editar i eliminar registres. Per exemple, podrien substituir les dades d'empremtes digitals per obtenir accés físic, canviar els drets d'accés i eliminar rastres d'intrusió dels registres.
Cal destacar que el problema es va identificar el 5 d'agost, però després es van dedicar diversos dies a transmetre informació als creadors de BioStar 2, que no van voler escoltar els investigadors. Finalment, el 7 d'agost es va comunicar la informació a l'empresa, però el problema només es va resoldre el 13 d'agost. Els investigadors van identificar la base de dades com a part d'un projecte per escanejar xarxes i analitzar els serveis web disponibles. Es desconeix quant de temps va romandre la base de dades en el domini públic i si els atacants sabien de la seva existència.
Font: opennet.ru