Penyelidik dari vpnMentor kemungkinan akses terbuka kepada pangkalan data, yang menyimpan lebih daripada 27.8 juta rekod (23 GB data) yang berkaitan dengan operasi sistem kawalan akses biometrik , yang mempunyai kira-kira 1.5 juta pemasangan di seluruh dunia dan disepadukan ke dalam platform AEOS, digunakan oleh lebih 5700 organisasi di 83 negara, termasuk syarikat besar dan bank, serta agensi kerajaan dan jabatan polis. Kebocoran itu disebabkan oleh konfigurasi storan Elasticsearch yang salah, yang ternyata boleh dibaca oleh sesiapa sahaja.
Kebocoran ini diburukkan lagi oleh fakta bahawa kebanyakan pangkalan data tidak disulitkan dan, sebagai tambahan kepada data peribadi (nama, telefon, e-mel, alamat rumah, kedudukan, masa sewa, dll.), log akses pengguna sistem, kata laluan terbuka ( tanpa pencincang) dan data peranti mudah alih, termasuk gambar muka dan imej cap jari yang digunakan untuk pengenalan pengguna biometrik.
Secara keseluruhan, pangkalan data telah mengenal pasti lebih daripada satu juta imbasan cap jari asal yang dikaitkan dengan orang tertentu. Kehadiran imej terbuka cap jari yang tidak boleh diubah membolehkan penyerang memalsukan cap jari menggunakan templat dan menggunakannya untuk memintas sistem kawalan akses atau meninggalkan kesan palsu. Perhatian khusus diberikan kepada kualiti kata laluan, di antaranya terdapat banyak kata laluan yang remeh, seperti "Kata Laluan" dan "abcd1234".
Selain itu, memandangkan pangkalan data juga termasuk bukti kelayakan pentadbir BioStar 2, sekiranya berlaku serangan, penyerang boleh mendapat akses penuh ke antara muka web sistem dan menggunakannya untuk menambah, mengedit dan memadam rekod. Contohnya, mereka boleh menggantikan data cap jari untuk mendapatkan akses fizikal, menukar hak akses dan mengalih keluar kesan pencerobohan daripada log.
Perlu diperhatikan bahawa masalah itu dikenal pasti pada 5 Ogos, tetapi beberapa hari dihabiskan untuk menyampaikan maklumat kepada pencipta BioStar 2, yang tidak mahu mendengar penyelidik. Akhirnya, pada 7 Ogos, maklumat itu telah dimaklumkan kepada syarikat itu, tetapi masalah itu hanya diselesaikan pada 13 Ogos. Penyelidik mengenal pasti pangkalan data sebagai sebahagian daripada projek untuk mengimbas rangkaian dan menganalisis perkhidmatan web yang tersedia. Tidak diketahui berapa lama pangkalan data kekal dalam domain awam dan sama ada penyerang tahu tentang kewujudannya.
Sumber: opennet.ru