Výskumníci z vpnMentor
Únik sťažuje skutočnosť, že väčšina databázy nebola šifrovaná a okrem osobných údajov (meno, telefón, e-mail, adresa bydliska, pozícia, čas prenájmu atď.) aj denníky prístupov používateľov systému, otvorené heslá ( bez hashovania) a údaje z mobilných zariadení vrátane fotografií tváre a odtlačkov prstov používaných na biometrickú identifikáciu používateľa.
Celkovo databáza identifikovala viac ako milión originálnych skenov odtlačkov prstov spojených s konkrétnymi ľuďmi. Prítomnosť otvorených obrázkov odtlačkov prstov, ktoré nemožno zmeniť, umožňuje útočníkom sfalšovať odtlačok prsta pomocou šablóny a použiť ju na obídenie systémov kontroly prístupu alebo zanechanie falošných stôp. Osobitná pozornosť sa venuje kvalite hesiel, medzi ktorými je veľa triviálnych hesiel, ako napríklad „Heslo“ a „abcd1234“.
Navyše, keďže databáza obsahovala aj poverenia správcov BioStar 2, v prípade útoku mohli útočníci získať plný prístup k webovému rozhraniu systému a použiť ho na pridávanie, úpravu a mazanie záznamov. Mohli by napríklad nahradiť údaje o odtlačkoch prstov, aby získali fyzický prístup, zmenili prístupové práva a odstránili stopy po vniknutí z protokolov.
Je pozoruhodné, že problém bol identifikovaný 5. augusta, ale potom sa niekoľko dní strávilo odovzdávaním informácií tvorcom BioStar 2, ktorí nechceli počúvať výskumníkov. Nakoniec 7. augusta bola informácia spoločnosti oznámená, no problém sa podarilo vyriešiť až 13. augusta. Výskumníci identifikovali databázu ako súčasť projektu na skenovanie sietí a analýzu dostupných webových služieb. Nie je známe, ako dlho bola databáza vo verejnej doméne a či útočníci vedeli o jej existencii.
Zdroj: opennet.ru