Ricercatori di vpnMentor la possibilità di accesso aperto al database, che memorizza più di 27.8 milioni di record (23 GB di dati) relativi al funzionamento del sistema di controllo degli accessi biometrico , che conta circa 1.5 milioni di installazioni in tutto il mondo ed è integrato nella piattaforma AEOS, utilizzata da più di 5700 organizzazioni in 83 paesi, tra cui grandi aziende e banche, nonché agenzie governative e dipartimenti di polizia. Il leak è stato causato da un'errata configurazione dello storage Elasticsearch, che è risultato leggibile da chiunque.
La fuga di notizie è aggravata dal fatto che la maggior parte del database non era crittografato e, oltre ai dati personali (nome, telefono, email, indirizzo di casa, posizione, orario di assunzione, ecc.), i registri di accesso degli utenti al sistema, le password aperte ( senza hashing) e dati dei dispositivi mobili, comprese fotografie del volto e immagini delle impronte digitali utilizzate per l'identificazione biometrica dell'utente.
In totale, il database ha identificato più di un milione di scansioni di impronte digitali originali associate a persone specifiche. La presenza di immagini aperte di impronte digitali che non possono essere modificate consente agli aggressori di falsificare un'impronta digitale utilizzando un modello e di utilizzarla per aggirare i sistemi di controllo degli accessi o lasciare false tracce. Particolare attenzione è rivolta alla qualità delle password, tra le quali ce ne sono molte banali, come "Password" e "abcd1234".
Inoltre, poiché il database includeva anche le credenziali degli amministratori di BioStar 2, in caso di attacco gli aggressori avrebbero potuto ottenere pieno accesso all’interfaccia web del sistema e utilizzarla per aggiungere, modificare ed eliminare record. Ad esempio, potrebbero sostituire i dati delle impronte digitali per ottenere l’accesso fisico, modificare i diritti di accesso e rimuovere tracce di intrusioni dai registri.
È interessante notare che il problema è stato identificato il 5 agosto, ma poi sono stati trascorsi diversi giorni a trasmettere informazioni ai creatori di BioStar 2, che non hanno voluto ascoltare i ricercatori. Infine, il 7 agosto, l’informazione è stata comunicata all’azienda, ma il problema è stato risolto solo il 13 agosto. I ricercatori hanno identificato il database come parte di un progetto per scansionare le reti e analizzare i servizi web disponibili. Non è noto per quanto tempo il database sia rimasto di dominio pubblico e se gli aggressori fossero a conoscenza della sua esistenza.
Fonte: opennet.ru