Исследователи из компании vpnMentor возможность открытого доступа к БД, в которой хранилось более 27.8 млн записей (23 Гб данных), связанных с работой системы биометрического контроля доступа , которая насчитывает около 1.5 млн установок по всему миру и интегрирована в платформу AEOS, применяемую более чем 5700 организациями в 83 странах, включая как крупные корпорации и банки, так и правительственные учреждения и полицейские участки. Утечка вызвана некорректной настройкой хранилища Elasticsearch, которое оказалось доступно на чтение всем желающим.
Утечку усугубляет то, что большая часть БД не была зашифрована и, помимо персональных данных (ФИО, телефон, email, домашний адрес, должность, время приёма на работу и т.п.), лога доступа пользователей системы, открытых паролей (без хэширования) и данных о мобильных устройствах, включала фотографии лиц и снимки отпечатков пальцев, используемые для биометрической идентификации пользователя.
Всего в БД выявлено более миллиона исходных сканов отпечатков пальцев, связанных с конкретными людьми. Наличие открытых снимков отпечатков пальцев, которые невозможно поменять, даёт возможность злоумышленникам подделать отпечаток по шаблону и воспользоваться им для обхода систем ограничения доступа или для оставления ложных следов. Отдельно обращается внимание на качество паролей, среди которых очень много тривиальных, вида «Password» и «abcd1234».
Более того, так как база включала и учётные данные администраторов BioStar 2, в случае атаки злоумышленники могли получить полный доступ к web-интерфейсу системы и использовать его для добавления, редактирования и удаления записей. Например, могли подменить данные об отпечатке пальцев для получения физического доступа, изменить права доступа и удалить из логов следы проникновения.
Примечательно, что проблема была выявлена 5 августа, но затем несколько дней было потрачено на то, чтобы донести информацию до создателей BioStar 2, которые не желали выслушивать исследователей. Наконец 7 августа информация была доведена до компании, но проблема была устранена только 13 августа. Исследователи выявили БД в рамках проекта по сканированию сетей и анализу доступных web-сервисов. Неизвестно, насколько долго БД оставалась в открытом доступе и знали ли о её существовании злоумышленники.
Source: opennet.ru