Forscher von vpnMentor die Möglichkeit des offenen Zugriffs auf die Datenbank, in der mehr als 27.8 Millionen Datensätze (23 GB Daten) im Zusammenhang mit dem Betrieb des biometrischen Zugangskontrollsystems gespeichert sind , das weltweit etwa 1.5 Millionen Installationen aufweist und in die AEOS-Plattform integriert ist, wird von mehr als 5700 Organisationen in 83 Ländern verwendet, darunter große Unternehmen und Banken sowie Regierungsbehörden und Polizeibehörden. Das Leck wurde durch eine falsche Konfiguration des Elasticsearch-Speichers verursacht, der sich als für jedermann lesbar erwies.
Das Leck wird durch die Tatsache verschärft, dass der größte Teil der Datenbank nicht verschlüsselt war und neben persönlichen Daten (Name, Telefon, E-Mail, Privatadresse, Position, Einstellungszeit usw.) auch Systembenutzerzugriffsprotokolle und offene Passwörter ( ohne Hashing) und Mobilgerätedaten, einschließlich Gesichtsfotos und Fingerabdruckbildern, die zur biometrischen Benutzeridentifizierung verwendet werden.
Insgesamt hat die Datenbank mehr als eine Million Original-Fingerabdruckscans identifiziert, die bestimmten Personen zugeordnet sind. Das Vorhandensein offener Bilder von Fingerabdrücken, die nicht geändert werden können, ermöglicht es Angreifern, mithilfe einer Vorlage einen Fingerabdruck zu fälschen und damit Zutrittskontrollsysteme zu umgehen oder falsche Spuren zu hinterlassen. Besonderes Augenmerk wird auf die Qualität von Passwörtern gelegt, darunter viele triviale Passwörter wie „Passwort“ und „abcd1234“.
Da die Datenbank außerdem auch die Anmeldeinformationen der BioStar 2-Administratoren enthielt, könnten Angreifer im Falle eines Angriffs vollständigen Zugriff auf die Weboberfläche des Systems erhalten und diese zum Hinzufügen, Bearbeiten und Löschen von Datensätzen verwenden. Sie könnten beispielsweise Fingerabdruckdaten ersetzen, um physischen Zugang zu erhalten, Zugriffsrechte ändern und Spuren von Einbrüchen aus Protokollen entfernen.
Bemerkenswert ist, dass das Problem am 5. August erkannt wurde, dann aber mehrere Tage damit verbracht wurden, Informationen an die Macher von BioStar 2 zu übermitteln, die den Forschern nicht zuhören wollten. Schließlich wurden die Informationen am 7. August dem Unternehmen mitgeteilt, das Problem konnte jedoch erst am 13. August behoben werden. Die Forscher identifizierten die Datenbank als Teil eines Projekts zum Scannen von Netzwerken und zur Analyse verfügbarer Webdienste. Es ist nicht bekannt, wie lange die Datenbank im öffentlichen Bereich blieb und ob die Angreifer von ihrer Existenz wussten.
Source: opennet.ru