Ricercatori di vpnMentor
La fuga di notizie è aggravata dal fatto che la maggior parte del database non era crittografato e, oltre ai dati personali (nome, telefono, email, indirizzo di casa, posizione, orario di assunzione, ecc.), i registri di accesso degli utenti al sistema, le password aperte ( senza hashing) e dati dei dispositivi mobili, comprese fotografie del volto e immagini delle impronte digitali utilizzate per l'identificazione biometrica dell'utente.
In totale, il database ha identificato più di un milione di scansioni di impronte digitali originali associate a persone specifiche. La presenza di immagini aperte di impronte digitali che non possono essere modificate consente agli aggressori di falsificare un'impronta digitale utilizzando un modello e di utilizzarla per aggirare i sistemi di controllo degli accessi o lasciare false tracce. Particolare attenzione è rivolta alla qualità delle password, tra le quali ce ne sono molte banali, come "Password" e "abcd1234".
Inoltre, poiché il database includeva anche le credenziali degli amministratori di BioStar 2, in caso di attacco gli aggressori avrebbero potuto ottenere pieno accesso all’interfaccia web del sistema e utilizzarla per aggiungere, modificare ed eliminare record. Ad esempio, potrebbero sostituire i dati delle impronte digitali per ottenere l’accesso fisico, modificare i diritti di accesso e rimuovere tracce di intrusioni dai registri.
È interessante notare che il problema è stato identificato il 5 agosto, ma poi sono stati trascorsi diversi giorni a trasmettere informazioni ai creatori di BioStar 2, che non hanno voluto ascoltare i ricercatori. Infine, il 7 agosto, l’informazione è stata comunicata all’azienda, ma il problema è stato risolto solo il 13 agosto. I ricercatori hanno identificato il database come parte di un progetto per scansionare le reti e analizzare i servizi web disponibili. Non è noto per quanto tempo il database sia rimasto di dominio pubblico e se gli aggressori fossero a conoscenza della sua esistenza.
Fonte: opennet.ru