محققان از vpnMentor امکان دسترسی باز به پایگاه داده که بیش از 27.8 میلیون رکورد (23 گیگابایت داده) مربوط به عملکرد سیستم کنترل دسترسی بیومتریک را ذخیره می کند. که تقریباً 1.5 میلیون نصب در سراسر جهان دارد و در پلتفرم AEOS ادغام شده است که توسط بیش از 5700 سازمان در 83 کشور جهان از جمله شرکت های بزرگ و بانک ها و همچنین سازمان های دولتی و ادارات پلیس استفاده می شود. این نشت به دلیل پیکربندی نادرست حافظه Elasticsearch بود که مشخص شد برای همه قابل خواندن است.
این نشت با این واقعیت تشدید می شود که بیشتر پایگاه داده رمزگذاری نشده است و علاوه بر داده های شخصی (نام، تلفن، ایمیل، آدرس خانه، موقعیت، زمان استخدام و غیره)، گزارش های دسترسی کاربر سیستم، رمزهای عبور باز ( بدون هش) و دادههای دستگاه تلفن همراه، شامل عکسهای چهره و تصاویر اثر انگشت مورد استفاده برای شناسایی بیومتریک کاربر.
در مجموع، پایگاه داده بیش از یک میلیون اسکن اثر انگشت اصلی مرتبط با افراد خاص را شناسایی کرده است. وجود تصاویر باز از اثر انگشت که قابل تغییر نیستند، این امکان را برای مهاجمان فراهم میکند که با استفاده از یک الگو، اثر انگشت جعل کنند و از آن برای دور زدن سیستمهای کنترل دسترسی یا به جا گذاشتن آثار نادرست استفاده کنند. توجه ویژه ای به کیفیت رمزهای عبور می شود که در میان آنها رمزهای بی اهمیت زیادی مانند "Password" و "abcd1234" وجود دارد.
علاوه بر این، از آنجایی که پایگاه داده شامل اعتبار مدیران BioStar 2 نیز می شود، در صورت حمله، مهاجمان می توانند به رابط وب سیستم دسترسی کامل داشته باشند و از آن برای افزودن، ویرایش و حذف سوابق استفاده کنند. به عنوان مثال، آنها می توانند داده های اثر انگشت را جایگزین کنند تا دسترسی فیزیکی داشته باشند، حقوق دسترسی را تغییر دهند و آثار نفوذ را از سیاهه ها حذف کنند.
شایان ذکر است که این مشکل در 5 آگوست شناسایی شد، اما پس از آن چندین روز صرف انتقال اطلاعات به سازندگان BioStar 2 شد که نمیخواستند به سخنان محققان گوش دهند. در نهایت در 7 آگوست اطلاعات به شرکت اطلاع رسانی شد اما مشکل تنها در 13 آگوست برطرف شد. محققان پایگاه داده را به عنوان بخشی از پروژه ای برای اسکن شبکه ها و تجزیه و تحلیل سرویس های وب موجود شناسایی کردند. مشخص نیست که پایگاه داده چه مدت در مالکیت عمومی باقی مانده است و آیا مهاجمان از وجود آن اطلاع داشتند یا خیر.
منبع: opennet.ru