Pesquisadores do vpnMentor a possibilidade de acesso aberto ao banco de dados, que armazenou mais de 27.8 milhões de registros (23 GB de dados) relacionados ao funcionamento do sistema de controle de acesso biométrico , que possui aproximadamente 1.5 milhão de instalações em todo o mundo e está integrada à plataforma AEOS, utilizada por mais de 5700 organizações em 83 países, incluindo grandes corporações e bancos, além de agências governamentais e departamentos de polícia. O vazamento foi causado pela configuração incorreta do armazenamento do Elasticsearch, que acabou sendo legível por qualquer pessoa.
O vazamento é agravado pelo fato de a maior parte do banco de dados não estar criptografada e, além dos dados pessoais (nome, telefone, e-mail, endereço residencial, cargo, horário de contratação, etc.), registros de acesso de usuários do sistema, senhas abertas ( sem hash) e dados de dispositivos móveis, incluindo fotografias faciais e imagens de impressões digitais usadas para identificação biométrica do usuário.
No total, o banco de dados identificou mais de um milhão de impressões digitais originais associadas a pessoas específicas. A presença de imagens abertas de impressões digitais que não podem ser alteradas permite que invasores falsifiquem uma impressão digital usando um modelo e a utilizem para contornar sistemas de controle de acesso ou deixar rastros falsos. É dada especial atenção à qualidade das senhas, entre as quais existem muitas triviais, como “Senha” e “abcd1234”.
Além disso, como o banco de dados também incluía as credenciais dos administradores do BioStar 2, no caso de um ataque, os invasores poderiam obter acesso total à interface web do sistema e usá-la para adicionar, editar e excluir registros. Por exemplo, poderiam substituir dados de impressões digitais para obter acesso físico, alterar direitos de acesso e remover vestígios de intrusão dos registos.
Vale ressaltar que o problema foi identificado no dia 5 de agosto, mas depois foram gastos vários dias repassando informações aos criadores do BioStar 2, que não quiseram ouvir os pesquisadores. Finalmente, no dia 7 de agosto, a informação foi comunicada à empresa, mas o problema só foi resolvido no dia 13 de agosto. Os pesquisadores identificaram o banco de dados como parte de um projeto para escanear redes e analisar serviços web disponíveis. Não se sabe por quanto tempo o banco de dados permaneceu em domínio público e se os invasores sabiam de sua existência.
Fonte: opennet.ru