VpnMentor pētnieki iespēja brīvi piekļūt datu bāzei, kurā tika glabāti vairāk nekā 27.8 miljoni ierakstu (23 GB datu), kas saistīti ar biometriskās piekļuves kontroles sistēmas darbību , kurā ir aptuveni 1.5 miljoni instalāciju visā pasaulē un kas ir integrēta AEOS platformā, ko izmanto vairāk nekā 5700 organizācijas 83 valstīs, tostarp lielas korporācijas un bankas, kā arī valsts aģentūras un policijas departamenti. Noplūdi izraisīja nepareiza Elasticsearch krātuves konfigurācija, kas izrādījās lasāma ikvienam.
Noplūdi pastiprina fakts, ka lielākā daļa datu bāzes nebija šifrēta un papildus personas datiem (pilns vārds, tālruņa numurs, e-pasts, mājas adrese, amats, pieņemšanas laiks u.c.), sistēmas lietotāju piekļuves žurnāli, atvērtās paroles (bez jaukšanas) un mobilās ierīces dati, tostarp sejas fotogrāfijas un pirkstu nospiedumu attēli, ko izmanto biometriskai lietotāja identifikācijai.
Kopumā datubāze ir identificējusi vairāk nekā miljonu oriģinālo pirkstu nospiedumu skenējumu, kas saistīti ar konkrētiem cilvēkiem. Atvērtu pirkstu nospiedumu attēlu klātbūtne, ko nevar mainīt, ļauj uzbrucējiem viltot pirkstu nospiedumus, izmantojot veidni, un izmantot to, lai apietu piekļuves kontroles sistēmas vai atstātu viltus pēdas. Īpaša uzmanība tiek pievērsta paroļu kvalitātei, starp kurām ir daudz triviālu, piemēram, “Parole” un “abcd1234”.
Turklāt, tā kā datu bāzē bija iekļauti arī BioStar 2 administratoru akreditācijas dati, uzbrukuma gadījumā uzbrucēji varēja iegūt pilnu piekļuvi sistēmas tīmekļa saskarnei un izmantot to, lai pievienotu, rediģētu un dzēstu ierakstus. Piemēram, tie varētu aizstāt pirkstu nospiedumu datus, lai iegūtu fizisku piekļuvi, mainītu piekļuves tiesības un noņemtu ielaušanās pēdas no žurnāliem.
Zīmīgi, ka problēma tika identificēta 5. augustā, bet pēc tam vairākas dienas tika pavadītas, nododot informāciju BioStar 2 veidotājiem, kuri nevēlējās klausīties pētniekus. Visbeidzot 7. augustā informācija uzņēmumam tika paziņota, taču problēma tika atrisināta tikai 13. augustā. Pētnieki identificēja datubāzi kā daļu no projekta, lai skenētu tīklus un analizētu pieejamos tīmekļa pakalpojumus. Nav zināms, cik ilgi datubāze atradās publiskajā īpašumā un vai uzbrucēji zināja par tās esamību.
Avots: opennet.ru