Undersikers fan vpnMentor de mooglikheid fan iepen tagong ta de databank, dy't mear as 27.8 miljoen records opslein (23 GB fan gegevens) relatearre oan de wurking fan it biometryske tagongskontrôlesysteem , dy't wrâldwiid sawat 1.5 miljoen ynstallaasjes hat en is yntegrearre yn it AEOS-platfoarm, brûkt troch mear as 5700-organisaasjes yn 83-lannen, ynklusyf grutte bedriuwen en banken, lykas oerheidsynstânsjes en plysje-ôfdielingen. It lek waard feroarsake troch ferkearde konfiguraasje fan de Elasticsearch-opslach, dy't foar elkenien lêsber bliek te wêzen.
It lek wurdt fergrutte troch it feit dat it grutste part fan 'e databank net fersifere wie en, neist persoanlike gegevens (namme, tillefoan, e-post, thúsadres, posysje, tiid fan hiere, ensfh.), tagongslogboeken foar systeembrûkers, iepen wachtwurden ( sûnder hashing) en gegevens fan mobile apparaten, ynklusyf gesichtsfoto's en fingerprintôfbyldings brûkt foar biometryske brûkersidentifikaasje.
Yn totaal hat de databank mear as in miljoen orizjinele fingerprint-scans identifisearre dy't ferbûn binne mei spesifike minsken. De oanwêzigens fan iepen ôfbyldings fan fingerprinten dy't net feroare wurde kinne, makket it mooglik foar oanfallers om in fingerprint te fake mei in sjabloan en it te brûken om tagongskontrôlesystemen te omgean of falske spoaren te litten. Spesjaal omtinken wurdt jûn oan de kwaliteit fan wachtwurden, wêrfan d'r in protte triviale binne, lykas "Wachtwurd" en "abcd1234".
Boppedat, om't de databank ek de bewiisbrieven fan BioStar 2-behearders omfette, kinne oanfallers yn it gefal fan in oanfal folsleine tagong krije ta de webynterface fan it systeem en it brûke om records ta te foegjen, te bewurkjen en te wiskjen. Se kinne bygelyks fingerprintgegevens ferfange om fysike tagong te krijen, tagongsrjochten te feroarjen en spoaren fan ynbraak út logs te ferwiderjen.
It is opmerklik dat it probleem op 5 augustus identifisearre waard, mar doe waarden ferskate dagen bestege oan it oerbringen fan ynformaasje oan de makkers fan BioStar 2, dy't net nei de ûndersikers harkje woene. Uteinlik, op 7 augustus, waard de ynformaasje kommunisearre oan it bedriuw, mar it probleem waard pas op 13 augustus oplost. Undersikers identifisearre de databank as ûnderdiel fan in projekt om netwurken te scannen en beskikbere webtsjinsten te analysearjen. It is ûnbekend hoe lang de databank yn it publike domein bleau en oft de oanfallers wisten fan it bestean.
Boarne: opennet.ru