Peneliti dari vpnMentor kemungkinan akses terbuka ke database, yang menyimpan lebih dari 27.8 juta catatan (data 23 GB) terkait dengan pengoperasian sistem kontrol akses biometrik , yang memiliki sekitar 1.5 juta instalasi di seluruh dunia dan terintegrasi ke dalam platform AEOS, yang digunakan oleh lebih dari 5700 organisasi di 83 negara, termasuk perusahaan besar dan bank, serta lembaga pemerintah dan kantor polisi. Kebocoran tersebut disebabkan oleh konfigurasi penyimpanan Elasticsearch yang salah, sehingga ternyata dapat dibaca oleh semua orang.
Kebocoran ini diperburuk oleh kenyataan bahwa sebagian besar database tidak dienkripsi dan, selain data pribadi (nama, telepon, email, alamat rumah, posisi, waktu kerja, dll.), log akses pengguna sistem, kata sandi terbuka (tanpa hashing) dan data perangkat seluler, termasuk foto wajah dan sidik jari yang digunakan untuk identifikasi biometrik pengguna.
Secara total, lebih dari satu juta pemindaian sidik jari asli yang terkait dengan orang-orang tertentu telah diidentifikasi dalam database. Kehadiran sidik jari terbuka yang tidak dapat diubah memungkinkan penyerang memalsukan sidik jari sesuai template dan menggunakannya untuk melewati sistem kontrol akses atau meninggalkan jejak palsu. Perhatian khusus diberikan pada kualitas kata sandi, di antaranya ada banyak kata sandi yang sepele, seperti "Kata Sandi" dan "abcd1234".
Selain itu, karena database juga menyertakan kredensial administrator BioStar 2, jika terjadi serangan, penyerang dapat memperoleh akses penuh ke antarmuka web sistem dan menggunakannya untuk menambah, mengedit, dan menghapus entri. Misalnya, mereka dapat mengubah data sidik jari untuk mendapatkan akses fisik, mengubah hak akses, dan menghapus jejak penetrasi dari log.
Patut dicatat bahwa masalah tersebut diidentifikasi pada tanggal 5 Agustus, tetapi kemudian beberapa hari dihabiskan untuk menyampaikan informasi kepada pembuat BioStar 2, yang tidak mau mendengarkan para peneliti. Akhirnya tanggal 7 Agustus informasinya disampaikan ke pihak perusahaan, namun masalah baru teratasi pada tanggal 13 Agustus. Para peneliti mengidentifikasi database sebagai bagian dari proyek untuk memindai jaringan dan menganalisis layanan web yang tersedia. Tidak diketahui berapa lama database tersebut berada dalam domain publik dan apakah penyerang mengetahui keberadaannya.
Sumber: opennet.ru