Výskumníci z vpnMentor možnosť otvoreného prístupu do databázy, v ktorej je uložených viac ako 27.8 milióna záznamov (23 GB dát) súvisiacich s prevádzkou biometrického systému kontroly prístupu , ktorá má po celom svete približne 1.5 milióna inštalácií a je integrovaná do platformy AEOS, ktorú používa viac ako 5700 83 organizácií v XNUMX krajinách vrátane veľkých korporácií a bánk, ako aj vládnych agentúr a policajných oddelení. Únik spôsobila nesprávna konfigurácia úložiska Elasticsearch, ktoré sa ukázalo ako čitateľné pre každého.
Únik sťažuje skutočnosť, že väčšina databázy nebola šifrovaná a okrem osobných údajov (meno, telefón, e-mail, adresa bydliska, pozícia, čas prenájmu atď.) aj denníky prístupov používateľov systému, otvorené heslá ( bez hashovania) a údaje z mobilných zariadení vrátane fotografií tváre a odtlačkov prstov používaných na biometrickú identifikáciu používateľa.
Celkovo databáza identifikovala viac ako milión originálnych skenov odtlačkov prstov spojených s konkrétnymi ľuďmi. Prítomnosť otvorených obrázkov odtlačkov prstov, ktoré nemožno zmeniť, umožňuje útočníkom sfalšovať odtlačok prsta pomocou šablóny a použiť ju na obídenie systémov kontroly prístupu alebo zanechanie falošných stôp. Osobitná pozornosť sa venuje kvalite hesiel, medzi ktorými je veľa triviálnych hesiel, ako napríklad „Heslo“ a „abcd1234“.
Navyše, keďže databáza obsahovala aj poverenia správcov BioStar 2, v prípade útoku mohli útočníci získať plný prístup k webovému rozhraniu systému a použiť ho na pridávanie, úpravu a mazanie záznamov. Mohli by napríklad nahradiť údaje o odtlačkoch prstov, aby získali fyzický prístup, zmenili prístupové práva a odstránili stopy po vniknutí z protokolov.
Je pozoruhodné, že problém bol identifikovaný 5. augusta, ale potom sa niekoľko dní strávilo odovzdávaním informácií tvorcom BioStar 2, ktorí nechceli počúvať výskumníkov. Nakoniec 7. augusta bola informácia spoločnosti oznámená, no problém sa podarilo vyriešiť až 13. augusta. Výskumníci identifikovali databázu ako súčasť projektu na skenovanie sietí a analýzu dostupných webových služieb. Nie je známe, ako dlho bola databáza vo verejnej doméne a či útočníci vedeli o jej existencii.
Zdroj: opennet.ru