vpnMentor зерттеушілері биометриялық қол жеткізуді басқару жүйесінің жұмысына қатысты 27.8 миллионнан астам жазба (23 ГБ деректер) сақталған дерекқорға ашық қол жеткізу мүмкіндігі. , бүкіл әлем бойынша шамамен 1.5 миллион қондырғысы бар және AEOS платформасына біріктірілген, оны 5700 елдегі 83-ден астам ұйым, соның ішінде ірі корпорациялар мен банктер, сондай-ақ мемлекеттік мекемелер мен полиция бөлімшелері пайдаланады. Ағып кету кез келген адам оқи алатын Elasticsearch қоймасының қате конфигурациясынан туындады.
Ағып кету дерекқордың көп бөлігі шифрланбағандығымен және жеке деректерден басқа (аты-жөні, телефоны, электрондық поштасы, үй мекенжайы, лауазымы, жалдау уақыты және т.б.), жүйе пайдаланушысының кіру журналдары, ашық парольдер ( хэштеусіз) және мобильді құрылғы деректері, пайдаланушының биометриялық сәйкестендіру үшін пайдаланылатын бет фотосуреттері мен саусақ ізі кескіндерін қамтиды.
Жалпы алғанда, дерекқор нақты адамдармен байланысты миллионнан астам түпнұсқа саусақ ізін сканерлеуді анықтады. Саусақ іздерінің өзгертілмейтін ашық кескіндерінің болуы шабуылдаушыларға үлгіні пайдаланып саусақ ізін қолдан жасауға және оны қол жеткізуді басқару жүйелерін айналып өту немесе жалған із қалдыру үшін пайдалануға мүмкіндік береді. Құпия сөздердің сапасына ерекше назар аударылады, олардың арасында «Пароль» және «abcd1234» сияқты тривиальдылары көп.
Сонымен қатар, дерекқор BioStar 2 әкімшілерінің тіркелгі деректерін қамтитындықтан, шабуыл жасалған жағдайда, шабуылдаушылар жүйенің веб-интерфейсіне толық қол жеткізе алады және оны жазбаларды қосу, өңдеу және жою үшін пайдалана алады. Мысалы, олар физикалық қол жеткізу үшін саусақ ізі деректерін ауыстыра алады, кіру құқықтарын өзгерте алады және журналдардан кіру іздерін жоя алады.
Бір қызығы, мәселе 5 тамызда анықталды, бірақ содан кейін зерттеушілерді тыңдағысы келмеген BioStar 2 жасаушыларына ақпарат жеткізуге бірнеше күн жұмсалды. Ақыры, 7 тамызда компанияға ақпарат жеткізілді, бірақ мәселе тек 13 тамызда шешілді. Зерттеушілер деректер базасын желілерді сканерлеу және қолжетімді веб-қызметтерді талдау жобасының бөлігі ретінде анықтады. Мәліметтер қорының қанша уақыт қоғамдық доменде болғаны және шабуылдаушылар оның бар екенін білген-білмегені белгісіз.
Ақпарат көзі: opennet.ru