vpnMentor изилдөөчүлөрү Биометрикалык мүмкүндүктү башкаруу системасынын иштешине байланыштуу 27.8 миллиондон ашык жазууларды (23 ГБ маалымат) сактаган маалымат базасына ачык кирүү мүмкүнчүлүгү. , дүйнө жүзү боюнча болжол менен 1.5 миллион орнотуулары бар жана AEOS платформасына интеграцияланган, 5700 өлкөдө 83дөн ашык уюмдар, анын ичинде ири корпорациялар жана банктар, ошондой эле мамлекеттик органдар жана полиция бөлүмдөрү тарабынан колдонулат. Ашып кетиши Elasticsearch сактагычынын туура эмес конфигурациясынан улам келип чыккан, аны каалаган адам окуй алат.
Маалыматтар базасынын көбү шифрленбегендиги жана жеке маалыматтардан тышкары (толук аты-жөнү, телефону, электрондук почтасы, үй дареги, кызматы, жалдоо убактысы ж. (хэшингсиз) жана мобилдик аппараттын маалыматтары, колдонуучунун биометрикалык идентификациясы үчүн колдонулган беттин сүрөттөрүн жана манжа изинин сүрөттөрүн камтыйт.
Жалпысынан маалымат базасы белгилүү бир адамдар менен байланышкан миллиондон ашык манжа изинин сканерин аныктады. Өзгөртүү мүмкүн эмес ачык сүрөттөрдүн бар болушу чабуулчуларга шаблон аркылуу манжа изин жасалмалоого жана аны кирүү башкаруу системаларын айланып өтүү же жалган издерди калтыруу үчүн колдонууга мүмкүндүк берет. Сырсөздөрдүн сапатына өзгөчө көңүл бурулат, алардын арасында “Пароль” жана “abcd1234” сыяктуу майда-чүйдөлөрү көп.
Андан тышкары, маалымат базасы BioStar 2 администраторлорунун ишеним грамоталарын камтыгандыктан, чабуул болгон учурда, чабуулчулар системанын веб-интерфейсине толук кирүү мүмкүнчүлүгүнө ээ болуп, аны жазууларды кошуу, түзөтүү жана жок кылуу үчүн колдоно алышат. Мисалы, алар манжа изинин дайындарын физикалык мүмкүнчүлүккө ээ болуу, кирүү укуктарын өзгөртүү жана журналдардан интрузия издерин жок кылуу үчүн алмаштыра алышат.
Белгилей кетсек, көйгөй 5-августта аныкталган, бирок андан кийин изилдөөчүлөрдү уккусу келбеген BioStar 2нин жаратуучуларына маалымат жеткирүү үчүн бир нече күн сарпталган. Акыры 7-августта компанияга маалымат берилип, бирок маселе 13-августта гана чечилген. Окумуштуулар маалымат базасын тармактарды сканерлөө жана жеткиликтүү веб-кызматтарды талдоо долбоорунун бир бөлүгү катары аныкташкан. Маалымат базасы коомдук доменде канча убакыт калганы жана кол салгандар анын бар экенин билген-билбегени белгисиз.
Source: opennet.ru