Raziskovalci iz vpnMentor možnost odprtega dostopa do podatkovne baze, v kateri je shranjenih več kot 27.8 milijona zapisov (23 GB podatkov), povezanih z delovanjem biometričnega sistema nadzora dostopa , ki ima približno 1.5 milijona namestitev po vsem svetu in je integriran v platformo AEOS, ki jo uporablja več kot 5700 organizacij v 83 državah, vključno z velikimi korporacijami in bankami ter vladnimi agencijami in policijskimi postajami. Puščanje je povzročila nepravilna konfiguracija shrambe Elasticsearch, za katero se je izkazalo, da jo lahko berejo vsi.
Puščanje še poslabša dejstvo, da večina baze podatkov ni bila šifrirana in poleg osebnih podatkov (ime, telefon, e-pošta, domači naslov, položaj, čas zaposlitve itd.), dnevnik dostopov uporabnikov do sistema, odprta gesla (brez zgoščevanja) in podatkov mobilnih naprav, vključno s fotografijami obrazov in prstnih odtisov, ki se uporabljajo za biometrično identifikacijo uporabnikov.
Skupno je bilo v podatkovni zbirki identificiranih več kot milijon originalnih skeniranih prstnih odtisov, povezanih z določenimi ljudmi. Prisotnost odprtih prstnih odtisov, ki jih ni mogoče spremeniti, omogoča napadalcem, da ponaredijo prstni odtis po šabloni in z njim obidejo sisteme za nadzor dostopa ali pustijo lažne sledi. Posebna pozornost je namenjena kakovosti gesel, med katerimi je veliko trivialnih, kot sta "Password" in "abcd1234".
Poleg tega, ker je zbirka podatkov vključevala tudi poverilnice skrbnikov BioStar 2, so lahko napadalci v primeru napada pridobili popoln dostop do spletnega vmesnika sistema in ga uporabili za dodajanje, urejanje in brisanje zapisov. Lahko bi na primer zamenjali podatke o prstnih odtisih za pridobitev fizičnega dostopa, spremenili pravice dostopa in odstranili sledi prodora iz dnevnikov.
Omeniti velja, da je bila težava ugotovljena 5. avgusta, potem pa je bilo nekaj dni porabljenih za posredovanje informacij ustvarjalcem BioStar 2, ki niso želeli poslušati raziskovalcev. Končno so 7. avgusta informacijo posredovali podjetju, a je bila težava odpravljena šele 13. avgusta. Raziskovalci so bazo podatkov opredelili kot del projekta skeniranja omrežij in analize razpoložljivih spletnih storitev. Ni znano, kako dolgo je baza podatkov ostala v javni domeni in ali so napadalci vedeli za njen obstoj.
Vir: opennet.ru