Tyrėjai iš vpnMentor
Nutekėjimą apsunkina tai, kad didžioji duomenų bazės dalis nebuvo užšifruota ir, be asmens duomenų (vardas, pavardė, telefonas, el. pašto adresas, namų adresas, pareigos, nuomos laikas ir kt.), sistemos vartotojų prieigos žurnalai, atviri slaptažodžiai (be maišos) ir mobiliojo įrenginio duomenys, įskaitant veido nuotraukas ir pirštų atspaudų vaizdus, naudojamus biometriniam vartotojo identifikavimui.
Iš viso duomenų bazėje buvo nustatyta daugiau nei milijonas originalių pirštų atspaudų, susijusių su konkrečiais žmonėmis. Dėl atvirų pirštų atspaudų vaizdų, kurių negalima pakeisti, užpuolikai gali suklastoti pirštų atspaudus naudodami šabloną ir naudoti jį apeiti prieigos kontrolės sistemas arba palikti klaidingus pėdsakus. Ypatingas dėmesys skiriamas slaptažodžių kokybei, tarp kurių yra daug nereikšmingų, tokių kaip „Password“ ir „abcd1234“.
Be to, kadangi duomenų bazėje taip pat buvo BioStar 2 administratorių kredencialai, atakos atveju užpuolikai galėtų gauti visišką prieigą prie sistemos žiniatinklio sąsajos ir naudoti ją įrašams pridėti, redaguoti ir ištrinti. Pavyzdžiui, jie galėtų pakeisti pirštų atspaudų duomenis, kad gautų fizinę prieigą, pakeistų prieigos teises ir pašalintų įsibrovimo pėdsakus iš žurnalų.
Pastebėtina, kad problema buvo nustatyta rugpjūčio 5 d., tačiau tada kelios dienos buvo praleistos perduodant informaciją „BioStar 2“ kūrėjams, kurie nenorėjo klausytis tyrėjų. Galiausiai rugpjūčio 7 dieną informacija įmonei buvo perduota, tačiau problema buvo išspręsta tik rugpjūčio 13 dieną. Tyrėjai nustatė, kad duomenų bazė yra tinklo nuskaitymo ir prieinamų interneto paslaugų analizės projekto dalis. Nežinoma, kiek laiko duomenų bazė buvo viešai prieinama ir ar užpuolikai žinojo apie jos egzistavimą.
Šaltinis: opennet.ru