Istraživači iz vpnMentor mogućnost otvorenog pristupa bazi u kojoj je pohranjeno više od 27.8 milijuna zapisa (23 GB podataka) vezanih uz rad biometrijskog sustava kontrole pristupa , koji ima otprilike 1.5 milijuna instalacija diljem svijeta i integriran je u AEOS platformu, koju koristi više od 5700 organizacija u 83 zemlje, uključujući velike korporacije i banke, kao i vladine agencije i policijske uprave. Curenje je uzrokovano netočnom konfiguracijom Elasticsearch pohrane, za koju se pokazalo da je svatko čitljiv.
Curenje je pogoršano činjenicom da većina baze podataka nije bila šifrirana i, osim osobnih podataka (ime, telefon, e-mail, kućna adresa, pozicija, vrijeme zaposlenja, itd.), zapisnici pristupa sustava, otvorene lozinke ( bez hashiranja) i podatke mobilnog uređaja, uključujući fotografije lica i slike otisaka prstiju koji se koriste za biometrijsku identifikaciju korisnika.
Ukupno je baza podataka identificirala više od milijun originalnih skeniranih otisaka prstiju povezanih s određenim ljudima. Prisutnost otvorenih slika otisaka prstiju koje se ne mogu mijenjati omogućuje napadačima lažiranje otiska prsta pomoću predloška i njegovu upotrebu za zaobilaženje sustava kontrole pristupa ili ostavljanje lažnih tragova. Posebna pozornost pridaje se kvaliteti lozinki, među kojima ima dosta trivijalnih poput “Password” i “abcd1234”.
Štoviše, budući da je baza podataka također uključivala vjerodajnice BioStar 2 administratora, u slučaju napada, napadači su mogli dobiti puni pristup web sučelju sustava i koristiti ga za dodavanje, uređivanje i brisanje zapisa. Na primjer, mogli bi zamijeniti podatke o otiscima prstiju za fizički pristup, promijeniti prava pristupa i ukloniti tragove upada iz zapisa.
Znakovito je da je problem identificiran 5. kolovoza, no potom je nekoliko dana potrošeno na prenošenje informacija tvorcima BioStara 2, koji nisu htjeli poslušati istraživače. Konačno, 7. kolovoza informacija je priopćena tvrtki, no problem je riješen tek 13. kolovoza. Istraživači su identificirali bazu podataka kao dio projekta skeniranja mreža i analize dostupnih web usluga. Nije poznato koliko je dugo baza podataka ostala u javnoj domeni i jesu li napadači znali za njezino postojanje.
Izvor: opennet.ru