Investigadores de vpnMentor la posibilidad de acceso abierto a la base de datos, que almacenó más de 27.8 millones de registros (23 GB de datos) relacionados con el funcionamiento del sistema de control de acceso biométrico , que cuenta con aproximadamente 1.5 millones de instalaciones en todo el mundo y está integrada en la plataforma AEOS, utilizada por más de 5700 organizaciones en 83 países, incluidas grandes corporaciones y bancos, así como agencias gubernamentales y departamentos de policía. La filtración se debió a una configuración incorrecta del almacenamiento de Elasticsearch, que resultó ser legible por cualquiera.
La filtración se ve agravada por el hecho de que la mayor parte de la base de datos no estaba cifrada y, además de los datos personales (nombre, teléfono, correo electrónico, domicilio, puesto, hora de contratación, etc.), registros de acceso de usuarios al sistema, contraseñas de apertura ( sin hash) y datos de dispositivos móviles, incluidas fotografías faciales e imágenes de huellas dactilares utilizadas para la identificación biométrica del usuario.
En total, la base de datos ha identificado más de un millón de escaneos de huellas dactilares originales asociados con personas específicas. La presencia de imágenes abiertas de huellas dactilares que no se pueden cambiar hace posible que los atacantes falsifiquen una huella digital utilizando una plantilla y la utilicen para eludir los sistemas de control de acceso o dejar rastros falsos. Se presta especial atención a la calidad de las contraseñas, entre las que hay muchas triviales, como “Contraseña” y “abcd1234”.
Además, dado que la base de datos también incluía las credenciales de los administradores de BioStar 2, en caso de un ataque, los atacantes podrían obtener acceso completo a la interfaz web del sistema y utilizarla para agregar, editar y eliminar registros. Por ejemplo, podrían reemplazar los datos de las huellas dactilares para obtener acceso físico, cambiar los derechos de acceso y eliminar rastros de intrusión de los registros.
Es de destacar que el problema se identificó el 5 de agosto, pero luego se dedicaron varios días a transmitir información a los creadores de BioStar 2, quienes no quisieron escuchar a los investigadores. Finalmente, el 7 de agosto se comunicó la información a la empresa, pero el problema no se resolvió recién el 13 de agosto. Los investigadores identificaron la base de datos como parte de un proyecto para escanear redes y analizar los servicios web disponibles. Se desconoce cuánto tiempo permaneció la base de datos en el dominio público y si los atacantes sabían de su existencia.
Fuente: opennet.ru