Investigadores de vpnMentor a posibilidade de acceso aberto á base de datos, que almacenaba máis de 27.8 millóns de rexistros (23 GB de datos) relacionados co funcionamento do sistema de control de acceso biométrico , que ten aproximadamente 1.5 millóns de instalacións en todo o mundo e está integrada na plataforma AEOS, utilizada por máis de 5700 organizacións en 83 países, incluíndo grandes corporacións e bancos, así como axencias gobernamentais e departamentos de policía. A fuga foi causada por unha configuración incorrecta do almacenamento de Elasticsearch, que resultou ser lexible por calquera.
A filtración vese agravada polo feito de que a maior parte da base de datos non estaba cifrada e, ademais dos datos persoais (nome, teléfono, correo electrónico, enderezo da casa, cargo, tempo de contratación, etc.), rexistros de acceso de usuarios do sistema, contrasinais abertas ( sen hash) e datos de dispositivos móbiles, incluídas fotografías faciais e imaxes de pegadas dixitais utilizadas para a identificación biométrica dos usuarios.
En total, a base de datos identificou máis dun millón de pegadas dixitais orixinais asociadas a persoas específicas. A presenza de imaxes abertas de impresións dixitais que non se poden cambiar fai posible que os atacantes falsifiquen unha pegada mediante un modelo e utilízana para evitar sistemas de control de acceso ou deixar rastros falsos. Préstase especial atención á calidade dos contrasinais, entre os que hai moitos triviais, como "Contrasinal" e "abcd1234".
Ademais, dado que a base de datos tamén incluía as credenciais dos administradores de BioStar 2, en caso de ataque, os atacantes podían ter acceso total á interface web do sistema e usala para engadir, editar e eliminar rexistros. Por exemplo, poderían substituír os datos da impresión dixital para obter acceso físico, cambiar os dereitos de acceso e eliminar rastros de intrusión dos rexistros.
Cabe destacar que o problema foi identificado o 5 de agosto, pero despois pasaron varios días transmitindo información aos creadores de BioStar 2, que non quixeron escoitar aos investigadores. Finalmente, o día 7 de agosto comunicoulle a información á empresa, pero o problema só se solucionou o 13 de agosto. Os investigadores identificaron a base de datos como parte dun proxecto para escanear redes e analizar os servizos web dispoñibles. Descoñécese canto tempo permaneceu a base de datos no dominio público e se os atacantes sabían da súa existencia.
Fonte: opennet.ru