Forskere fra vpnMentor muligheten for åpen tilgang til databasen, som lagret mer enn 27.8 millioner poster (23 GB data) relatert til driften av det biometriske tilgangskontrollsystemet , som har rundt 1.5 millioner installasjoner over hele verden og er integrert i AEOS-plattformen, som brukes av mer enn 5700 organisasjoner i 83 land, inkludert store selskaper og banker, samt offentlige etater og politistasjoner. Lekkasjen var forårsaket av feil konfigurasjon av Elasticsearch-lagringen, som viste seg å være lesbar for alle.
Lekkasjen forsterkes av det faktum at det meste av databasen ikke var kryptert, og i tillegg til personlige data (navn, telefon, e-post, hjemmeadresse, stilling, ansettelsestidspunkt osv.), tilgangslogg for systembrukere, åpne passord (uten hashing) og mobilenhetsdata, inkludert fotografier av ansikter og fingeravtrykk brukt for biometrisk brukeridentifikasjon.
Totalt ble mer enn en million originale fingeravtrykksskanninger knyttet til bestemte personer identifisert i databasen. Tilstedeværelsen av åpne fingeravtrykk som ikke kan endres, gjør det mulig for angripere å forfalske et fingeravtrykk i henhold til en mal og bruke det til å omgå tilgangskontrollsystemer eller legge igjen falske spor. Separat oppmerksomhet trekkes til kvaliteten på passord, blant dem er det mange trivielle, for eksempel "Passord" og "abcd1234".
Siden databasen også inkluderte påloggingsinformasjonen til BioStar 2-administratorer, kan angripere i tilfelle et angrep få full tilgang til systemets webgrensesnitt og bruke det til å legge til, redigere og slette poster. De kan for eksempel endre fingeravtrykksdata for å få fysisk tilgang, endre tilgangsrettigheter og fjerne spor av penetrering fra loggene.
Det er bemerkelsesverdig at problemet ble identifisert 5. august, men da ble det brukt flere dager på å formidle informasjon til skaperne av BioStar 2, som ikke ønsket å høre på forskerne. Til slutt, 7. august, ble informasjonen brakt til selskapet, men problemet ble løst først 13. august. Forskerne identifiserte databasen som en del av et prosjekt for å skanne nettverk og analysere tilgjengelige webtjenester. Det er ikke kjent hvor lenge databasen forble i det offentlige domene og om angriperne visste om dens eksistens.
Kilde: opennet.ru