vpnMentor ನಿಂದ ಸಂಶೋಧಕರು ಬಯೋಮೆಟ್ರಿಕ್ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆಯ ಕಾರ್ಯಾಚರಣೆಗೆ ಸಂಬಂಧಿಸಿದ 27.8 ಮಿಲಿಯನ್ ದಾಖಲೆಗಳನ್ನು (23 ಜಿಬಿ ಡೇಟಾ) ಸಂಗ್ರಹಿಸಿರುವ ಡೇಟಾಬೇಸ್ಗೆ ಮುಕ್ತ ಪ್ರವೇಶದ ಸಾಧ್ಯತೆ , ಇದು ಪ್ರಪಂಚದಾದ್ಯಂತ ಸರಿಸುಮಾರು 1.5 ಮಿಲಿಯನ್ ಸ್ಥಾಪನೆಗಳನ್ನು ಹೊಂದಿದೆ ಮತ್ತು AEOS ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗೆ ಸಂಯೋಜಿಸಲ್ಪಟ್ಟಿದೆ, ಇದನ್ನು 5700 ದೇಶಗಳಲ್ಲಿ 83 ಕ್ಕೂ ಹೆಚ್ಚು ಸಂಸ್ಥೆಗಳು ಬಳಸುತ್ತವೆ, ದೊಡ್ಡ ನಿಗಮಗಳು ಮತ್ತು ಬ್ಯಾಂಕುಗಳು, ಹಾಗೆಯೇ ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳು ಮತ್ತು ಪೊಲೀಸ್ ಇಲಾಖೆಗಳು. Elasticsearch ಸಂಗ್ರಹಣೆಯ ತಪ್ಪಾದ ಕಾನ್ಫಿಗರೇಶನ್ನಿಂದ ಸೋರಿಕೆ ಉಂಟಾಗಿದೆ, ಅದನ್ನು ಯಾರಾದರೂ ಓದಬಹುದು.
ಹೆಚ್ಚಿನ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿಲ್ಲ ಮತ್ತು ವೈಯಕ್ತಿಕ ಡೇಟಾದ ಜೊತೆಗೆ (ಹೆಸರು, ಫೋನ್, ಇಮೇಲ್, ಮನೆ ವಿಳಾಸ, ಸ್ಥಾನ, ಬಾಡಿಗೆ ಸಮಯ, ಇತ್ಯಾದಿ), ಸಿಸ್ಟಮ್ ಬಳಕೆದಾರರ ಪ್ರವೇಶ ಲಾಗ್ಗಳು, ಓಪನ್ ಪಾಸ್ವರ್ಡ್ಗಳು (ಓಪನ್ ಪಾಸ್ವರ್ಡ್ಗಳು) ಸೋರಿಕೆಯನ್ನು ಉಲ್ಬಣಗೊಳಿಸಿದೆ. ಹ್ಯಾಶಿಂಗ್ ಇಲ್ಲದೆ) ಮತ್ತು ಮೊಬೈಲ್ ಸಾಧನ ಡೇಟಾ, ಬಯೋಮೆಟ್ರಿಕ್ ಬಳಕೆದಾರ ಗುರುತಿಸುವಿಕೆಗಾಗಿ ಬಳಸುವ ಮುಖದ ಛಾಯಾಚಿತ್ರಗಳು ಮತ್ತು ಫಿಂಗರ್ಪ್ರಿಂಟ್ ಚಿತ್ರಗಳನ್ನು ಒಳಗೊಂಡಿದೆ.
ಒಟ್ಟಾರೆಯಾಗಿ, ಡೇಟಾಬೇಸ್ ನಿರ್ದಿಷ್ಟ ಜನರೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ ಒಂದು ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಮೂಲ ಫಿಂಗರ್ಪ್ರಿಂಟ್ ಸ್ಕ್ಯಾನ್ಗಳನ್ನು ಗುರುತಿಸಿದೆ. ಬದಲಾಯಿಸಲಾಗದ ಫಿಂಗರ್ಪ್ರಿಂಟ್ಗಳ ತೆರೆದ ಚಿತ್ರಗಳ ಉಪಸ್ಥಿತಿಯು ದಾಳಿಕೋರರಿಗೆ ಟೆಂಪ್ಲೇಟ್ ಬಳಸಿ ಫಿಂಗರ್ಪ್ರಿಂಟ್ ಅನ್ನು ನಕಲಿ ಮಾಡಲು ಮತ್ತು ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅಥವಾ ತಪ್ಪು ಕುರುಹುಗಳನ್ನು ಬಿಡಲು ಅದನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ. ಪಾಸ್ವರ್ಡ್ಗಳ ಗುಣಮಟ್ಟಕ್ಕೆ ವಿಶೇಷ ಗಮನವನ್ನು ನೀಡಲಾಗುತ್ತದೆ, ಅವುಗಳಲ್ಲಿ "ಪಾಸ್ವರ್ಡ್" ಮತ್ತು "abcd1234" ನಂತಹ ಕ್ಷುಲ್ಲಕವಾದವುಗಳಿವೆ.
ಇದಲ್ಲದೆ, ಡೇಟಾಬೇಸ್ BioStar 2 ನಿರ್ವಾಹಕರ ರುಜುವಾತುಗಳನ್ನು ಒಳಗೊಂಡಿರುವುದರಿಂದ, ದಾಳಿಯ ಸಂದರ್ಭದಲ್ಲಿ, ದಾಳಿಕೋರರು ಸಿಸ್ಟಮ್ನ ವೆಬ್ ಇಂಟರ್ಫೇಸ್ಗೆ ಸಂಪೂರ್ಣ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು ಮತ್ತು ದಾಖಲೆಗಳನ್ನು ಸೇರಿಸಲು, ಸಂಪಾದಿಸಲು ಮತ್ತು ಅಳಿಸಲು ಅದನ್ನು ಬಳಸಬಹುದು. ಉದಾಹರಣೆಗೆ, ಅವರು ಭೌತಿಕ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಫಿಂಗರ್ಪ್ರಿಂಟ್ ಡೇಟಾವನ್ನು ಬದಲಾಯಿಸಬಹುದು, ಪ್ರವೇಶ ಹಕ್ಕುಗಳನ್ನು ಬದಲಾಯಿಸಬಹುದು ಮತ್ತು ಲಾಗ್ಗಳಿಂದ ಒಳನುಗ್ಗುವಿಕೆಯ ಕುರುಹುಗಳನ್ನು ತೆಗೆದುಹಾಕಬಹುದು.
ಆಗಸ್ಟ್ 5 ರಂದು ಸಮಸ್ಯೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ ಎಂಬುದು ಗಮನಾರ್ಹವಾಗಿದೆ, ಆದರೆ ನಂತರ ಸಂಶೋಧಕರ ಮಾತನ್ನು ಕೇಳಲು ಇಷ್ಟಪಡದ ಬಯೋಸ್ಟಾರ್ 2 ರ ಸೃಷ್ಟಿಕರ್ತರಿಗೆ ಮಾಹಿತಿಯನ್ನು ತಿಳಿಸಲು ಹಲವಾರು ದಿನಗಳನ್ನು ಕಳೆದರು. ಅಂತಿಮವಾಗಿ, ಆಗಸ್ಟ್ 7 ರಂದು, ಮಾಹಿತಿಯನ್ನು ಕಂಪನಿಗೆ ತಿಳಿಸಲಾಯಿತು, ಆದರೆ ಸಮಸ್ಯೆಯನ್ನು ಆಗಸ್ಟ್ 13 ರಂದು ಮಾತ್ರ ಪರಿಹರಿಸಲಾಯಿತು. ನೆಟ್ವರ್ಕ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಮತ್ತು ಲಭ್ಯವಿರುವ ವೆಬ್ ಸೇವೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಯೋಜನೆಯ ಭಾಗವಾಗಿ ಸಂಶೋಧಕರು ಡೇಟಾಬೇಸ್ ಅನ್ನು ಗುರುತಿಸಿದ್ದಾರೆ. ಡೇಟಾಬೇಸ್ ಸಾರ್ವಜನಿಕ ಡೊಮೇನ್ನಲ್ಲಿ ಎಷ್ಟು ಕಾಲ ಉಳಿಯಿತು ಮತ್ತು ದಾಳಿಕೋರರಿಗೆ ಅದರ ಅಸ್ತಿತ್ವದ ಬಗ್ಗೆ ತಿಳಿದಿದೆಯೇ ಎಂಬುದು ತಿಳಿದಿಲ್ಲ.
ಮೂಲ: opennet.ru