Vísindamenn frá vpnMentor möguleikann á opnum aðgangi að gagnagrunninum, sem geymdi meira en 27.8 milljónir gagna (23 GB af gögnum) sem tengjast rekstri líffræðilega tölfræðiaðgangsstýringarkerfisins , sem hefur um það bil 1.5 milljón uppsetningar um allan heim og er samþætt í AEOS vettvang, notað af meira en 5700 stofnunum í 83 löndum, þar á meðal stórum fyrirtækjum og bönkum, auk ríkisstofnana og lögregluembætta. Lekinn stafaði af rangri uppsetningu á Elasticsearch geymslunni, sem reyndist vera læsileg fyrir hvern sem er.
Lekinn eykst af því að megnið af gagnagrunninum var ekki dulkóðað og, auk persónuupplýsinga (nafn, síma, netfang, heimilisfang, staða, ráðningartími o.s.frv.), aðgangsskrám kerfisnotenda, opnum lykilorðum ( án hass) og gagna um farsíma, innifalið í andlitsmyndum og fingrafaramyndum sem notaðar eru til að auðkenna líffræðileg tölfræði notenda.
Alls hefur gagnagrunnurinn greint meira en milljón upprunalega fingrafaraskannanir sem tengjast tilteknu fólki. Tilvist opinna mynda af fingraförum sem ekki er hægt að breyta gerir árásarmönnum kleift að falsa fingrafar með sniðmáti og nota það til að komast framhjá aðgangsstýringarkerfum eða skilja eftir fölsk spor. Sérstök athygli er lögð á gæði lykilorða, þar á meðal eru mörg léttvæg, eins og „Lykilorð“ og „abcd1234“.
Þar að auki, þar sem gagnagrunnurinn innihélt einnig skilríki BioStar 2 stjórnenda, ef til árásar kemur, gætu árásarmenn fengið fullan aðgang að vefviðmóti kerfisins og notað það til að bæta við, breyta og eyða skrám. Til dæmis gætu þeir skipt út fingrafaragögnum til að fá líkamlegan aðgang, breyta aðgangsréttindum og fjarlægja ummerki um afskipti úr annálum.
Athygli vekur að vandamálið var greint 5. ágúst en þá fóru nokkrir dagar í að miðla upplýsingum til höfunda BioStar 2, sem vildu ekki hlusta á rannsakendurna. Loks, þann 7. ágúst, var upplýsingum komið á framfæri við fyrirtækið, en vandamálið var leyst fyrst þann 13. ágúst. Vísindamenn tilgreindu gagnagrunninn sem hluta af verkefni til að skanna netkerfi og greina tiltæka vefþjónustu. Ekki er vitað hversu lengi gagnagrunnurinn var í almenningseign og hvort árásarmennirnir vissu um tilvist hans.
Heimild: opennet.ru