vpnMentor-eko ikertzaileak sarbide biometrikoko kontrol sistemaren funtzionamenduarekin lotutako 27.8 milioi erregistro (23 GB datu) baino gehiago gordetzen zituen datu-baserako sarbidea irekitzeko aukera. , gutxi gorabehera 1.5 milioi instalazio ditu mundu osoan eta AEOS plataforman integratuta dagoena, 5700 herrialdetako 83 erakundek baino gehiagok erabiltzen dutena, korporazio handiak eta bankuak barne, baita gobernu agentziek eta polizia sailek ere. Isuria Elasticsearch biltegiaren konfigurazio okerrak eragin zuen, edonork irakurtzen zuela.
Isuria areagotu egiten da datu-basearen zatirik handiena enkriptatu gabe zegoelako eta datu pertsonalez gain (izena, telefonoa, posta elektronikoa, etxeko helbidea, kargua, kontratazio-ordua, etab.), sistemako erabiltzaileen sarbide-erregistroak, pasahitzak irekiak ( hashing gabe) eta gailu mugikorren datuak, aurpegiko argazkiak eta erabiltzaile biometrikoak identifikatzeko erabiltzen diren hatz-marken irudiak barne.
Guztira, datu-baseak pertsona zehatz batzuekin lotutako jatorrizko hatz-marken eskaneatu baino gehiago identifikatu ditu. Aldatu ezin diren hatz-marken irudi irekiak egoteak aukera ematen du erasotzaileek hatz-marka bat faltsutzea txantiloi bat erabiliz eta sarbidea kontrolatzeko sistemak saihesteko edo aztarna faltsuak uzteko erabiltzea. Arreta berezia jartzen zaio pasahitzen kalitateari, eta horien artean hutsal asko daude, hala nola "Pasahitza" eta "abcd1234".
Gainera, datu-baseak BioStar 2 administratzaileen kredentzialak ere barne hartzen zituenez, eraso bat gertatuz gero, erasotzaileek sistemaren web interfazera atzitu osoa lor zezaketen eta erregistroak gehitzeko, editatzeko eta ezabatzeko erabil zezaketen. Esaterako, hatz-marken datuak ordezkatu ditzakete sarbide fisikoa lortzeko, sarbide-eskubideak aldatzeko eta erregistroetatik intrusioaren arrastoak kentzeko.
Azpimarratzekoa da arazoa abuztuaren 5ean identifikatu zela, baina gero hainbat egun eman zituzten BioStar 2-ren sortzaileei informazioa helarazten, ez baitzituzten ikerlariei entzun nahi izan. Azkenik, abuztuaren 7an, informazioa helarazi zioten enpresari, baina arazoa abuztuaren 13an baino ez zen konpondu. Ikertzaileek datu-basea sareak eskaneatzeko eta eskuragarri dauden web zerbitzuak aztertzeko proiektu baten parte gisa identifikatu zuten. Ez dakigu zenbat denboran egon zen datu-basea jabari publikoan eta erasotzaileek haren existentzia ezagutzen ote zuten.
Iturria: opennet.ru