vpnMentor の研究者 生体認証アクセス制御システムの運用に関連する 27.8 万件以上の記録 (23 GB のデータ) を保存したデータベースへのオープンアクセスの可能性 は、世界中で約 1.5 万台がインストールされており、AEOS プラットフォームに統合されており、大企業や銀行、政府機関や警察など、5700 か国の 83 以上の組織で使用されています。 漏洩は Elasticsearch ストレージの誤った設定が原因で発生し、誰でも読み取り可能であることが判明しました。
データベースの大部分が暗号化されておらず、個人データ (名前、電話番号、電子メール、自宅住所、役職、勤務時間など) に加えて、システム ユーザーのアクセス ログ、公開パスワード (ハッシュなし)およびモバイル デバイス データには、生体認証ユーザーの識別に使用される顔写真や指紋画像が含まれます。
データベースは合計で、特定の人々に関連する 1234 万件を超えるオリジナルの指紋スキャンを特定しました。 変更できない公開された指紋の画像が存在すると、攻撃者がテンプレートを使用して指紋を偽造し、それを使用してアクセス制御システムをバイパスしたり、偽の痕跡を残したりすることが可能になります。 パスワードの品質には特に注意が払われており、その中には「Password」や「abcdXNUMX」などの簡単なパスワードが多数あります。
さらに、データベースには BioStar 2 管理者の資格情報も含まれていたため、攻撃が発生した場合、攻撃者はシステムの Web インターフェイスへの完全なアクセスを取得し、それを使用してレコードの追加、編集、削除を行う可能性があります。 たとえば、指紋データを置き換えて物理的なアクセスを取得したり、アクセス権を変更したり、ログから侵入の痕跡を削除したりする可能性があります。
注目に値するのは、この問題は 5 月 2 日に特定されたが、その後、BioStar 7 の作成者に情報を伝えるのに数日を費やし、作成者は研究者の意見に耳を傾けようとしなかったということです。 最終的に13月XNUMX日に情報が会社に伝えられたが、問題が解決したのはXNUMX月XNUMX日だった。 研究者らは、このデータベースがネットワークをスキャンし、利用可能な Web サービスを分析するプロジェクトの一部であることを確認しました。 データベースがどのくらいの期間パブリック ドメインに残されていたのか、また攻撃者がその存在を知っていたかどうかは不明です。
出所: オープンネット.ru