Peneliti saka vpnMentor kamungkinan mbukak akses menyang database, sing disimpen luwih saka 27.8 yuta cathetan (23 GB data) related kanggo operasi sistem kontrol akses biometrik , sing nduwe sekitar 1.5 yuta panginstalan ing saindenging jagad lan digabungake menyang platform AEOS, sing digunakake dening luwih saka 5700 organisasi ing 83 negara, kalebu perusahaan gedhe lan bank, uga lembaga pemerintah lan kantor polisi. Bocor kasebut disebabake konfigurasi panyimpenan Elasticsearch sing ora bener, sing bisa diwaca kabeh wong.
Bocor kasebut diperparah dening kasunyatan manawa sebagian besar database ora dienkripsi lan, saliyane data pribadhi (jeneng, telpon, email, alamat omah, posisi, wektu kerja, lan sapiturute), log akses pangguna sistem, mbukak sandhi. (tanpa hashing) lan data piranti seluler, kalebu foto pasuryan lan bekas driji sing digunakake kanggo identifikasi pangguna biometrik.
Secara total, luwih saka siji yuta scan bekas driji asli sing digandhengake karo wong tartamtu diidentifikasi ing database. Anane sidik jari sing mbukak sing ora bisa diganti ndadekake panyerang bisa nggawe sidik jari miturut cithakan lan digunakake kanggo ngliwati sistem kontrol akses utawa ninggalake jejak palsu. Perhatian kapisah ditarik kanggo kualitas sandhi, ing antarane ana akeh sing ora pati penting, kayata "Sandhi" lan "abcd1234".
Kajaba iku, amarga database uga kalebu kredensial pangurus BioStar 2, yen ana serangan, panyerang bisa entuk akses lengkap menyang antarmuka web sistem lan digunakake kanggo nambah, ngowahi, lan mbusak entri. Contone, bisa ngganti data bekas driji kanggo entuk akses fisik, ngganti hak akses, lan mbusak jejak penetrasi saka log.
Wigati dimangerteni manawa masalah kasebut diidentifikasi tanggal 5 Agustus, nanging sawetara dina ditindakake kanggo ngirim informasi menyang pangripta BioStar 2, sing ora pengin ngrungokake para peneliti. Pungkasan, tanggal 7 Agustus, informasi kasebut digawa menyang perusahaan, nanging masalah kasebut diatasi mung tanggal 13 Agustus. Peneliti ngenali basis data minangka bagΓ©an saka proyek kanggo mindhai jaringan lan nganalisa layanan web sing kasedhiya. Ora dingerteni suwene database tetep ana ing domain umum lan manawa para panyerang ngerti babagan orane.
Source: opennet.ru