vpnMentor-ийн судлаачид биометрийн хандалтын хяналтын системийн ажиллагаатай холбоотой 27.8 сая гаруй бичлэг (23 ГБ өгөгдөл) хадгалсан мэдээллийн санд нээлттэй нэвтрэх боломж. , дэлхий даяар ойролцоогоор 1.5 сая суурилуулалттай, AEOS платформд нэгдсэн бөгөөд томоохон корпорациуд, банкууд, түүнчлэн төрийн байгууллагууд, цагдаагийн хэлтэс зэрэг 5700 орны 83 гаруй байгууллага ашигладаг. Эластик хайлт хадгалах сангийн буруу тохиргооноос болж алдагдсан нь хэн ч унших боломжтой болсон.
Мэдээллийн сангийн ихэнх хэсэг нь шифрлэгдээгүй, хувийн мэдээлэл (нэр, утас, имэйл, гэрийн хаяг, албан тушаал, хөлсөлсөн цаг гэх мэт), системийн хэрэглэгчийн хандалтын бүртгэл, нээлттэй нууц үг ( хэшгүй) болон мобайл төхөөрөмжийн өгөгдөлд нүүрний гэрэл зураг, хэрэглэгчийн биометрээр танихад ашигладаг хурууны хээний зураг багтсан болно.
Нийтдээ мэдээллийн сан нь тодорхой хүмүүстэй холбоотой нэг сая гаруй хурууны хээний хээг илрүүлсэн байна. Хурууны хээг өөрчлөх боломжгүй нээлттэй зургууд байгаа нь халдагчид загвар ашиглан хурууны хээг хуурамчаар үйлдэж, нэвтрэх хяналтын системийг тойрч гарах эсвэл хуурамч ул мөр үлдээх боломжийг олгодог. Нууц үгийн чанарт онцгой анхаарал хандуулдаг бөгөөд үүнд "Нууц үг", "abcd1234" гэх мэт өчүүхэн зүйл байдаг.
Нэмж дурдахад мэдээллийн санд BioStar 2-ын администраторуудын итгэмжлэлүүд багтсан тул халдлагад өртсөн тохиолдолд халдагчид системийн вэб интерфэйс рүү бүрэн нэвтэрч, бүртгэл нэмэх, засварлах, устгахад ашиглах боломжтой. Жишээлбэл, тэд хурууны хээний өгөгдлийг сольж, физик хандалт авах, нэвтрэх эрхийг өөрчлөх, бүртгэлээс халдлагын ул мөрийг арилгах боломжтой.
Асуудлыг 5-р сарын 2-нд тодорхойлсон боловч дараа нь судлаачдын үгийг сонсохыг хүсээгүй BioStar 7-ыг бүтээгчид мэдээлэл дамжуулахад хэдэн өдөр зарцуулсан нь анхаарал татаж байна. Эцэст нь наймдугаар сарын 13-нд тус компанид мэдээлэл өгсөн ч наймдугаар сарын XNUMX-нд л асуудал шийдэгдсэн. Судлаачид мэдээллийн санг сүлжээг сканнердах, боломжтой вэб үйлчилгээнд дүн шинжилгээ хийх төслийн нэг хэсэг гэж тодорхойлсон. Мэдээллийн сан олон нийтийн эзэмшилд хэр удаан хадгалагдаж байсан, халдагчид түүний оршин тогтнолыг мэдсэн эсэх нь тодорхойгүй байна.
Эх сурвалж: opennet.ru