vpnMentori teadlased avatud juurdepääsu võimalus andmebaasile, mis salvestas enam kui 27.8 miljonit biomeetrilise juurdepääsukontrolli süsteemi toimimisega seotud kirjet (23 GB andmeid) , millel on maailmas ligikaudu 1.5 miljonit installatsiooni ja mis on integreeritud AEOS-i platvormi, mida kasutab enam kui 5700 organisatsiooni 83 riigis, sealhulgas suurkorporatsioonid ja pangad, aga ka valitsusasutused ja politseiosakonnad. Lekke põhjustas Elasticsearchi salvestusruumi vale konfiguratsioon, mis osutus kõigile loetavaks.
Leket raskendab asjaolu, et suurem osa andmebaasist oli krüpteerimata ning lisaks isikuandmetele (nimi, telefon, meiliaadress, kodune aadress, ametikoht, töölevõtmise aeg jne) süsteemi kasutajate juurdepääsulogid, avatud paroolid ( ilma räsimiseta) ja mobiilseadme andmed, sealhulgas näofotod ja sõrmejäljekujutised, mida kasutatakse kasutaja biomeetriliseks tuvastamiseks.
Kokku on andmebaas tuvastanud üle miljoni originaalse sõrmejälje skaneeringu, mis on seotud konkreetsete inimestega. Sõrmejälgede avatud kujutiste olemasolu, mida ei saa muuta, võimaldab ründajatel malli abil sõrmejälge võltsida ja kasutada seda juurdepääsukontrollisüsteemidest mööda hiilimiseks või valejälgede jätmiseks. Erilist tähelepanu pööratakse paroolide kvaliteedile, mille hulgas on palju triviaalseid, nagu “Password” ja “abcd1234”.
Lisaks, kuna andmebaas sisaldas ka BioStar 2 administraatorite mandaate, võisid ründajad rünnaku korral saada täieliku juurdepääsu süsteemi veebiliidesele ning kasutada seda kirjete lisamiseks, muutmiseks ja kustutamiseks. Näiteks võivad nad asendada sõrmejälgede andmed, et saada füüsiline juurdepääs, muuta juurdepääsuõigusi ja eemaldada logidest sissetungimise jäljed.
Tähelepanuväärne on, et probleem tuvastati 5. augustil, kuid siis kulus mitu päeva teabe edastamiseks BioStar 2 loojatele, kes ei soovinud teadlasi kuulata. Lõpuks 7. augustil edastati info ettevõttele, kuid probleem lahenes alles 13. augustil. Teadlased tuvastasid andmebaasi osana võrkude skannimise ja saadaolevate veebiteenuste analüüsimise projektist. Pole teada, kui kaua andmebaas avalikuks jäi ja kas ründajad teadsid selle olemasolust.
Allikas: opennet.ru