Հետազոտողները vpnMentor-ից տվյալների բազա բաց մուտքի հնարավորությունը, որտեղ պահվում են ավելի քան 27.8 միլիոն գրառումներ (23 ԳԲ տվյալներ)՝ կապված կենսաչափական մուտքի վերահսկման համակարգի աշխատանքի հետ։ , որն ունի մոտավորապես 1.5 միլիոն տեղակայում ամբողջ աշխարհում և ինտեգրված է AEOS հարթակում, որն օգտագործվում է ավելի քան 5700 կազմակերպությունների կողմից 83 երկրներում, ներառյալ խոշոր կորպորացիաները և բանկերը, ինչպես նաև պետական մարմինները և ոստիկանական բաժանմունքները: Արտահոսքի պատճառ է դարձել Elasticsearch պահեստի սխալ կազմաձևումը, որը, պարզվել է, ընթեռնելի է բոլորի համար:
Արտահոսքը խորանում է նրանով, որ տվյալների բազայի մեծ մասը գաղտնագրված չէր, և, ի լրումն անձնական տվյալների (անուն, հեռախոս, էլ. փոստ, տան հասցե, պաշտոն, աշխատանքի ժամանակ և այլն), համակարգի օգտատերերի մուտքի մատյանները, բաց գաղտնաբառերը ( առանց հաշինգի) և շարժական սարքերի տվյալները, ներառյալ դեմքի լուսանկարները և մատնահետքերի պատկերները, որոնք օգտագործվում են օգտատիրոջ կենսաչափական նույնականացման համար:
Ընդհանուր առմամբ տվյալների բազան հայտնաբերել է ավելի քան մեկ միլիոն բնօրինակ մատնահետքերի սկանավորում՝ կապված կոնկրետ մարդկանց հետ: Մատնահետքերի բաց պատկերների առկայությունը, որոնք հնարավոր չէ փոխել, հնարավորություն է տալիս հարձակվողներին կեղծել մատնահետքը՝ օգտագործելով կաղապարը և օգտագործել այն՝ շրջանցելու մուտքի վերահսկման համակարգերը կամ թողնելու կեղծ հետքեր: Հատուկ ուշադրություն է դարձվում գաղտնաբառերի որակին, որոնց թվում կան բազմաթիվ չնչինները, ինչպիսիք են «Password» և «abcd1234»:
Ավելին, քանի որ տվյալների բազան ներառում էր նաև BioStar 2-ի ադմինիստրատորների հավատարմագրերը, հարձակման դեպքում հարձակվողները կարող էին լիարժեք մուտք ունենալ համակարգի վեբ ինտերֆեյսին և օգտագործել այն գրառումները ավելացնելու, խմբագրելու և ջնջելու համար: Օրինակ՝ նրանք կարող են փոխարինել մատնահետքի տվյալները՝ ֆիզիկական հասանելիություն ձեռք բերելու, մուտքի իրավունքները փոխելու և տեղեկամատյաններից ներխուժման հետքերը հեռացնելու համար:
Հատկանշական է, որ խնդիրը բացահայտվել է օգոստոսի 5-ին, սակայն հետո մի քանի օր է ծախսվել BioStar 2-ի ստեղծողներին տեղեկատվություն փոխանցելու համար, որոնք չեն ցանկացել լսել հետազոտողներին։ Ի վերջո, օգոստոսի 7-ին տեղեկությունը հաղորդվել է ընկերությանը, սակայն խնդիրը լուծվել է միայն օգոստոսի 13-ին։ Հետազոտողները հայտնաբերել են տվյալների բազան որպես ցանցերի սկանավորման և հասանելի վեբ ծառայությունները վերլուծելու նախագծի մի մաս: Հայտնի չէ, թե որքան ժամանակ է տվյալների բազան մնացել հանրային տիրույթում, և արդյոք հարձակվողները գիտեին դրա գոյության մասին:
Source: opennet.ru