Tyrėjai iš vpnMentor galimybė naudotis atvira prieiga prie duomenų bazės, kurioje buvo saugoma daugiau nei 27.8 mln. įrašų (23 GB duomenų), susijusių su biometrinės prieigos kontrolės sistemos veikimu. , kuri turi maždaug 1.5 milijono įrenginių visame pasaulyje ir yra integruota į AEOS platformą, kurią naudoja daugiau nei 5700 organizacijų 83 šalyse, įskaitant dideles korporacijas ir bankus, taip pat vyriausybines agentūras ir policijos departamentus. Nutekėjimą sukėlė neteisinga Elasticsearch saugyklos konfigūracija, kurią, kaip paaiškėjo, galėjo perskaityti visi.
Nutekėjimą apsunkina tai, kad didžioji duomenų bazės dalis nebuvo užšifruota ir, be asmens duomenų (vardas, pavardė, telefonas, el. pašto adresas, namų adresas, pareigos, nuomos laikas ir kt.), sistemos vartotojų prieigos žurnalai, atviri slaptažodžiai (be maišos) ir mobiliojo įrenginio duomenys, įskaitant veido nuotraukas ir pirštų atspaudų vaizdus, naudojamus biometriniam vartotojo identifikavimui.
Iš viso duomenų bazėje buvo nustatyta daugiau nei milijonas originalių pirštų atspaudų, susijusių su konkrečiais žmonėmis. Dėl atvirų pirštų atspaudų vaizdų, kurių negalima pakeisti, užpuolikai gali suklastoti pirštų atspaudus naudodami šabloną ir naudoti jį apeiti prieigos kontrolės sistemas arba palikti klaidingus pėdsakus. Ypatingas dėmesys skiriamas slaptažodžių kokybei, tarp kurių yra daug nereikšmingų, tokių kaip „Password“ ir „abcd1234“.
Be to, kadangi duomenų bazėje taip pat buvo BioStar 2 administratorių kredencialai, atakos atveju užpuolikai galėtų gauti visišką prieigą prie sistemos žiniatinklio sąsajos ir naudoti ją įrašams pridėti, redaguoti ir ištrinti. Pavyzdžiui, jie galėtų pakeisti pirštų atspaudų duomenis, kad gautų fizinę prieigą, pakeistų prieigos teises ir pašalintų įsibrovimo pėdsakus iš žurnalų.
Pastebėtina, kad problema buvo nustatyta rugpjūčio 5 d., tačiau tada kelios dienos buvo praleistos perduodant informaciją „BioStar 2“ kūrėjams, kurie nenorėjo klausytis tyrėjų. Galiausiai rugpjūčio 7 dieną informacija įmonei buvo perduota, tačiau problema buvo išspręsta tik rugpjūčio 13 dieną. Tyrėjai nustatė, kad duomenų bazė yra tinklo nuskaitymo ir prieinamų interneto paslaugų analizės projekto dalis. Nežinoma, kiek laiko duomenų bazė buvo viešai prieinama ir ar užpuolikai žinojo apie jos egzistavimą.
Šaltinis: opennet.ru