A vpnMentor kutatói a több mint 27.8 millió rekordot (23 GB adatot) tároló adatbázishoz való nyílt hozzáférés lehetősége a biometrikus beléptetőrendszer működéséhez kapcsolódóan , amely világszerte megközelítőleg 1.5 millió telepítéssel rendelkezik, és az AEOS platformba integrálva, 5700 országban több mint 83 szervezet használja, köztük nagyvállalatok és bankok, valamint kormányzati szervek és rendőrségi szervek. A szivárgást az Elasticsearch tároló helytelen beállítása okozta, amelyről kiderült, hogy bárki olvassa.
A kiszivárogtatást súlyosbítja, hogy az adatbázis nagy része nem volt titkosítva, és a személyes adatokon (teljes név, telefon, email, lakcím, beosztás, kölcsönzés ideje stb.) kívül a rendszer felhasználói hozzáférési naplói, nyitott jelszavak (kivonat nélkül) és mobileszköz-adatok, beleértve az arcfotókat és a biometrikus felhasználói azonosításhoz használt ujjlenyomat-képeket.
Összességében az adatbázis több mint egymillió eredeti ujjlenyomat-beolvasást azonosított, amelyek konkrét személyekhez kapcsolódnak. A nem módosítható ujjlenyomatok nyitott képei lehetővé teszik a támadók számára, hogy egy sablon segítségével ujjlenyomatot hamisítsanak, és ezzel megkerüljék a beléptető rendszereket, vagy hamis nyomokat hagyjanak. Különös figyelmet fordítanak a jelszavak minőségére, amelyek között sok triviális is van, mint például a „Password” és az „abcd1234”.
Sőt, mivel az adatbázis a BioStar 2 rendszergazdáinak hitelesítő adatait is tartalmazta, támadás esetén a támadók teljes hozzáférést kaphattak a rendszer webes felületéhez, és felhasználhatják azt rekordok hozzáadására, szerkesztésére és törlésére. Például lecserélhetik az ujjlenyomat-adatokat a fizikai hozzáférés érdekében, megváltoztathatják a hozzáférési jogokat, és eltávolíthatják a behatolás nyomait a naplókból.
Figyelemre méltó, hogy a problémát augusztus 5-én azonosították, de akkor több nap telt el azzal, hogy információkat közöljenek a BioStar 2 alkotóival, akik nem akartak hallgatni a kutatókra. Végül augusztus 7-én közölték a céggel az információt, de a probléma csak augusztus 13-án oldódott meg. A kutatók az adatbázist egy hálózatok átvizsgálására és az elérhető webszolgáltatások elemzésére irányuló projekt részeként azonosították. Nem ismert, hogy az adatbázis meddig volt nyilvános, és hogy a támadók tudtak-e a létezéséről.
Forrás: opennet.ru