Mga tigdukiduki gikan sa vpnMentor ang posibilidad sa bukas nga pag-access sa database, nga nagtipig labaw pa sa 27.8 milyon nga mga rekord (23 GB nga datos) nga may kalabutan sa operasyon sa biometric access control system , nga adunay mga 1.5 ka milyon nga mga instalasyon sa tibuok kalibutan ug gisagol sa plataporma sa AEOS, nga gigamit sa labaw sa 5700 ka mga organisasyon sa 83 ka mga nasud, lakip ang dagkong mga korporasyon ug mga bangko, ingon man mga ahensya sa gobyerno ug mga istasyon sa pulisya. Ang pagtulo gipahinabo sa usa ka sayup nga pag-configure sa pagtipig sa Elasticsearch, nga nahimoβg mabasa sa tanan.
Ang pagtulo gipasamot sa kamatuoran nga kadaghanan sa database wala ma-encrypt ug, dugang sa personal nga datos (ngalan, telepono, email, adres sa balay, posisyon, oras sa trabaho, ug uban pa), access log sa mga tiggamit sa sistema, bukas nga mga password (walay hashing) ug data sa mobile device, lakip ang mga litrato sa mga nawong ug mga fingerprint nga gigamit alang sa biometric nga pag-ila sa user.
Sa kinatibuk-an, labaw sa usa ka milyon nga orihinal nga fingerprint scan nga may kalabutan sa piho nga mga tawo ang giila sa database. Ang presensya sa bukas nga mga fingerprint nga dili mabag-o nagpaposible alang sa mga tig-atake nga maghimo usa ka fingerprint sumala sa usa ka template ug magamit kini aron malaktawan ang mga sistema sa pagkontrol sa pag-access o magbilin ug sayup nga mga pagsubay. Ang bulag nga atensyon gipunting sa kalidad sa mga password, diin adunay daghang mga butang nga walaβy hinungdan, sama sa "Password" ug "abcd1234".
Dugang pa, tungod kay ang database naglakip usab sa mga kredensyal sa mga administrador sa BioStar 2, kung adunay usa ka pag-atake, ang mga tig-atake mahimong makakuha og bug-os nga access sa web interface sa sistema ug magamit kini sa pagdugang, pag-edit, ug pagtangtang sa mga entry. Pananglitan, mahimo nilang usbon ang data sa fingerprint aron makakuha og pisikal nga pag-access, usbon ang mga katungod sa pag-access, ug tangtangon ang mga timailhan sa pagsulod gikan sa mga log.
Mamatikdan nga ang problema nahibal-an kaniadtong Agosto 5, apan daghang mga adlaw ang gigugol sa paghatud sa kasayuran sa mga tiglalang sa BioStar 2, nga dili gusto mamati sa mga tigdukiduki. Sa katapusan, kaniadtong Agosto 7, ang kasayuran gidala sa kompanya, apan ang problema naayo ra kaniadtong Agosto 13. Giila sa mga tigdukiduki ang database isip bahin sa usa ka proyekto sa pag-scan sa mga network ug pag-analisar sa mga magamit nga serbisyo sa web. Wala mahibal-an kung unsa ka dugay ang database nagpabilin sa publiko nga domain ug kung nahibal-an ba sa mga tig-atake ang bahin sa paglungtad niini.
Source: opennet.ru