Onderzoekers van vpnMentor de mogelijkheid van open toegang tot de database, waarin meer dan 27.8 miljoen records (23 GB aan gegevens) zijn opgeslagen met betrekking tot de werking van het biometrische toegangscontrolesysteem , dat wereldwijd ongeveer 1.5 miljoen installaties heeft en is geïntegreerd in het AEOS-platform, dat wordt gebruikt door meer dan 5700 organisaties in 83 landen, waaronder grote bedrijven en banken, maar ook door overheidsinstanties en politiebureaus. Het lek werd veroorzaakt door een onjuiste configuratie van de Elasticsearch-opslag, die voor iedereen leesbaar bleek te zijn.
Het lek wordt nog verergerd door het feit dat het grootste deel van de database niet gecodeerd was en, naast persoonlijke gegevens (naam, telefoonnummer, e-mailadres, thuisadres, functie, diensttijd, enz.), het toegangslogboek van systeemgebruikers, open wachtwoorden (zonder hashen) en gegevens van mobiele apparaten, inclusief foto's van gezichten en vingerafdrukken die worden gebruikt voor biometrische gebruikersidentificatie.
In totaal werden in de database meer dan een miljoen originele vingerafdrukscans geïdentificeerd die verband hielden met specifieke personen. De aanwezigheid van open vingerafdrukken die niet kunnen worden gewijzigd, maakt het voor aanvallers mogelijk om volgens een sjabloon een vingerafdruk te vervalsen en daarmee toegangscontrolesystemen te omzeilen of valse sporen achter te laten. Aparte aandacht wordt gevestigd op de kwaliteit van wachtwoorden, waaronder veel triviale, zoals "Wachtwoord" en "abcd1234".
Omdat de database ook de inloggegevens van BioStar 2-beheerders bevatte, konden aanvallers in geval van een aanval bovendien volledige toegang krijgen tot de webinterface van het systeem en deze gebruiken om gegevens toe te voegen, te bewerken en te verwijderen. Ze kunnen bijvoorbeeld vingerafdrukgegevens wijzigen om fysieke toegang te krijgen, toegangsrechten wijzigen en sporen van penetratie uit de logs verwijderen.
Het is opmerkelijk dat het probleem op 5 augustus werd geïdentificeerd, maar dat er vervolgens enkele dagen werden besteed aan het overbrengen van informatie aan de makers van BioStar 2, die niet naar de onderzoekers wilden luisteren. Uiteindelijk werd de informatie op 7 augustus naar het bedrijf gebracht, maar het probleem werd pas op 13 augustus opgelost. De onderzoekers identificeerden de database als onderdeel van een project om netwerken te scannen en beschikbare webservices te analyseren. Het is niet bekend hoe lang de database in het publieke domein bleef en of de aanvallers van het bestaan ervan op de hoogte waren.
Bron: opennet.ru