Výzkumníci z vpnMentor možnost otevřeného přístupu do databáze, ve které je uloženo více než 27.8 milionů záznamů (23 GB dat) souvisejících s provozem biometrického systému kontroly přístupu , která má po celém světě přibližně 1.5 milionu instalací a je integrována do platformy AEOS, kterou používá více než 5700 83 organizací v XNUMX zemích, včetně velkých korporací a bank, ale i vládních agentur a policejních oddělení. Únik byl způsoben nesprávnou konfigurací úložiště Elasticsearch, které se ukázalo být čitelné pro kohokoli.
Únik je umocněn tím, že většina databáze nebyla zašifrována a kromě osobních údajů (celé jméno, telefon, e-mail, adresa bydliště, pozice, doba náboru atd.) byly zaznamenány přístupové protokoly uživatelů systému, otevřená hesla (bez hašování) a dat z mobilních zařízení, včetně fotografií obličeje a otisků prstů používaných k biometrické identifikaci uživatele.
Celkem databáze identifikovala více než milion originálních skenů otisků prstů spojených s konkrétními lidmi. Přítomnost otevřených obrázků otisků prstů, které nelze změnit, umožňuje útočníkům zfalšovat otisky prstů pomocí šablony a použít je k obcházení systémů kontroly přístupu nebo zanechání falešných stop. Zvláštní pozornost je věnována kvalitě hesel, mezi nimiž je spousta triviálních, jako je „Heslo“ a „abcd1234“.
Navíc, protože databáze obsahovala také přihlašovací údaje správců BioStar 2, v případě útoku mohli útočníci získat plný přístup k webovému rozhraní systému a použít jej k přidávání, úpravám a mazání záznamů. Mohli by například nahradit data o otiscích prstů, aby získali fyzický přístup, změnili přístupová práva a odstranili stopy po narušení z protokolů.
Je pozoruhodné, že problém byl identifikován 5. srpna, ale poté bylo několik dní stráveno předáváním informací tvůrcům BioStar 2, kteří nechtěli naslouchat výzkumníkům. Nakonec 7. srpna byla informace společnosti sdělena, ale problém byl vyřešen až 13. srpna. Výzkumníci identifikovali databázi jako součást projektu skenování sítí a analýzy dostupných webových služeb. Není známo, jak dlouho databáze zůstala ve veřejné doméně a zda útočníci věděli o její existenci.
Zdroj: opennet.ru