Naukowcy z vpnMentor możliwość otwartego dostępu do bazy danych, w której zgromadzono ponad 27.8 mln rekordów (23 GB danych) związanych z funkcjonowaniem biometrycznego systemu kontroli dostępu , który ma około 1.5 miliona instalacji na całym świecie i jest zintegrowany z platformą AEOS, z której korzysta ponad 5700 organizacji w 83 krajach, w tym duże korporacje i banki, a także agencje rządowe i wydziały policji. Wyciek był spowodowany błędną konfiguracją magazynu Elasticsearch, który okazał się czytelny dla każdego.
Wyciek pogarsza fakt, że większość baz danych nie była zaszyfrowana i oprócz danych osobowych (imię i nazwisko, telefon, adres e-mail, adres domowy, stanowisko, czas zatrudnienia itp.), logi dostępu użytkowników systemu, otwarte hasła ( bez haszowania) oraz dane urządzenia mobilnego, w tym zdjęcia twarzy i obrazy odcisków palców wykorzystywane do biometrycznej identyfikacji użytkownika.
W sumie w bazie danych zidentyfikowano ponad milion oryginalnych skanów linii papilarnych powiązanych z konkretnymi osobami. Obecność otwartych obrazów odcisków palców, których nie można zmienić, umożliwia atakującym sfałszowanie odcisku palca przy użyciu szablonu i wykorzystanie go do ominięcia systemów kontroli dostępu lub pozostawienia fałszywych śladów. Szczególną uwagę zwraca się na jakość haseł, wśród których znajduje się wiele tak banalnych, jak „Hasło” i „abcd1234”.
Co więcej, ponieważ baza danych zawierała także dane uwierzytelniające administratorów BioStar 2, w przypadku ataku napastnicy mogliby uzyskać pełny dostęp do interfejsu sieciowego systemu i wykorzystać go do dodawania, edytowania i usuwania rekordów. Mogą na przykład zastąpić dane odcisków palców, aby uzyskać fizyczny dostęp, zmienić prawa dostępu i usunąć ślady włamań z dzienników.
Warto zauważyć, że problem został zidentyfikowany 5 sierpnia, ale potem przez kilka dni przekazywał informacje twórcom BioStar 2, którzy nie chcieli słuchać badaczy. Ostatecznie 7 sierpnia informację przekazano spółce, ale problem został rozwiązany dopiero 13 sierpnia. Badacze zidentyfikowali tę bazę danych jako część projektu mającego na celu skanowanie sieci i analizowanie dostępnych usług internetowych. Nie wiadomo, jak długo baza danych pozostawała w domenie publicznej i czy atakujący wiedzieli o jej istnieniu.
Źródło: opennet.ru