Forskere fra vpnMentor muligheden for åben adgang til databasen, som lagrede mere end 27.8 millioner poster (23 GB data) relateret til driften af det biometriske adgangskontrolsystem , som har cirka 1.5 millioner installationer på verdensplan og er integreret i AEOS-platformen, der bruges af mere end 5700 organisationer i 83 lande, herunder store virksomheder og banker, samt offentlige myndigheder og politiafdelinger. Lækagen var forårsaget af forkert konfiguration af Elasticsearch-lageret, som viste sig at kunne læses af alle.
Lækagen forværres af, at det meste af databasen ikke var krypteret, og ud over personlige data (navn, telefon, e-mail, hjemmeadresse, stilling, ansættelsestidspunkt osv.), systembrugeradgangslogfiler, åbne adgangskoder ( uden hashing) og mobilenhedsdata, inkluderet ansigtsbilleder og fingeraftryksbilleder, der bruges til biometrisk brugeridentifikation.
I alt har databasen identificeret mere end en million originale fingeraftryksscanninger forbundet med specifikke personer. Tilstedeværelsen af åbne billeder af fingeraftryk, som ikke kan ændres, gør det muligt for angribere at forfalske et fingeraftryk ved hjælp af en skabelon og bruge det til at omgå adgangskontrolsystemer eller efterlade falske spor. Der lægges særlig vægt på kvaliteten af adgangskoder, blandt hvilke der er mange trivielle, såsom "Password" og "abcd1234".
Desuden, da databasen også indeholdt legitimationsoplysninger fra BioStar 2-administratorer, kunne angribere i tilfælde af et angreb få fuld adgang til systemets webgrænseflade og bruge det til at tilføje, redigere og slette poster. For eksempel kunne de erstatte fingeraftryksdata for at få fysisk adgang, ændre adgangsrettigheder og fjerne spor af indtrængen fra logfiler.
Det er bemærkelsesværdigt, at problemet blev identificeret den 5. august, men derefter blev der brugt flere dage på at formidle information til skaberne af BioStar 2, som ikke ønskede at lytte til forskerne. Endelig den 7. august blev oplysningerne videregivet til virksomheden, men problemet blev først løst den 13. august. Forskere identificerede databasen som en del af et projekt til at scanne netværk og analysere tilgængelige webtjenester. Det er ukendt, hvor længe databasen forblev i det offentlige domæne, og om angriberne vidste om dens eksistens.
Kilde: opennet.ru