Pesquisadores da vpnMentor a capacidade de acessar abertamente um banco de dados que continha mais de 27.8 milhões de registros (23 GB de dados) relacionados à operação do sistema de controle de acesso biométrico. O Elasticsearch, que possui aproximadamente 1.5 milhão de instalações em todo o mundo e está integrado à plataforma AEOS, é utilizado por mais de 5700 organizações em 83 países, incluindo grandes corporações e bancos, agências governamentais e departamentos de polícia. O vazamento foi causado por um armazenamento Elasticsearch configurado incorretamente, que se tornou publicamente legível.
O vazamento é agravado pelo fato de que a maior parte do banco de dados não estava criptografada e, além de dados pessoais (nome, número de telefone, e-mail, endereço residencial, cargo, tempo de serviço, etc.), registros de acesso do usuário, senhas em texto não criptografado (sem hash) e dados de dispositivos móveis, incluía fotografias faciais e impressões digitais usadas para identificação biométrica do usuário.
No total, mais de um milhão de impressões digitais brutas, vinculadas a indivíduos específicos, foram identificadas no banco de dados. A presença de imagens de impressões digitais publicamente acessíveis e imutáveis permite que invasores falsifiquem impressões digitais usando um modelo e as utilizem para burlar sistemas de controle de acesso ou deixar rastros falsos. A qualidade das senhas, que incluem muitas triviais como "Senha" e "abcd1234", é particularmente notável.
Além disso, como o banco de dados também incluía as credenciais de administrador do BioStar 2, em caso de ataque, os invasores poderiam obter acesso total à interface web do sistema e usá-la para adicionar, editar e excluir registros. Por exemplo, poderiam falsificar dados de impressões digitais para obter acesso físico, alterar direitos de acesso e apagar rastros de intrusão dos registros.
Surpreendentemente, o problema foi descoberto em 5 de agosto, mas foram necessários vários dias para comunicar a informação aos desenvolvedores do BioStar 2, que se mostraram relutantes em ouvir os pesquisadores. A informação foi finalmente comunicada à empresa em 7 de agosto, mas o problema só foi corrigido em 13 de agosto. Os pesquisadores descobriram o banco de dados como parte de um projeto para escanear redes e analisar serviços web acessíveis. Não se sabe por quanto tempo o banco de dados permaneceu publicamente acessível ou se os atacantes tinham conhecimento de sua existência.
Fonte: opennet.ru
