Studiuesit nga vpnMentor mundësia e aksesit të hapur në bazën e të dhënave, e cila ruan më shumë se 27.8 milion regjistrime (23 GB të dhëna) në lidhje me funksionimin e sistemit të kontrollit biometrik të aksesit , e cila ka afërsisht 1.5 milionë instalime në mbarë botën dhe është e integruar në platformën AEOS, e përdorur nga më shumë se 5700 organizata në 83 vende, duke përfshirë korporata dhe banka të mëdha, si dhe agjenci qeveritare dhe departamente policore. Rrjedhja u shkaktua nga konfigurimi i gabuar i ruajtjes së Elasticsearch, i cili doli të ishte i lexueshëm nga kushdo.
Rrjedhja përkeqësohet nga fakti se shumica e bazës së të dhënave nuk ishte e koduar dhe, përveç të dhënave personale (emri, telefoni, emaili, adresa e shtëpisë, pozicioni, koha e punësimit, etj.), regjistrat e aksesit të përdoruesve të sistemit, fjalëkalimet e hapura ( pa hash) dhe të dhënat e pajisjes celulare, përfshirë fotografitë e fytyrës dhe imazhet e gjurmëve të gishtërinjve të përdorura për identifikimin biometrik të përdoruesit.
Në total, baza e të dhënave ka identifikuar më shumë se një milion skanime origjinale të gjurmëve të gishtërinjve të lidhur me njerëz të veçantë. Prania e imazheve të hapura të gjurmëve të gishtërinjve që nuk mund të ndryshohen bën të mundur që sulmuesit të falsifikojnë një gjurmë gishti duke përdorur një shabllon dhe ta përdorin atë për të anashkaluar sistemet e kontrollit të aksesit ose për të lënë gjurmë të rreme. Vëmendje e veçantë i kushtohet cilësisë së fjalëkalimeve, ndër të cilat ka shumë të parëndësishme, si "Password" dhe "abcd1234".
Për më tepër, duke qenë se baza e të dhënave përfshinte gjithashtu kredencialet e administratorëve të BioStar 2, në rast sulmi, sulmuesit mund të fitonin akses të plotë në ndërfaqen e internetit të sistemit dhe ta përdornin atë për të shtuar, modifikuar dhe fshirë të dhënat. Për shembull, ata mund të zëvendësojnë të dhënat e gjurmëve të gishtërinjve për të fituar akses fizik, të ndryshojnë të drejtat e aksesit dhe të heqin gjurmët e ndërhyrjes nga regjistrat.
Vlen të përmendet se problemi u identifikua më 5 gusht, por më pas u shpenzuan disa ditë për të përcjellë informacionin te krijuesit e BioStar 2, të cilët nuk donin të dëgjonin studiuesit. Më në fund, më 7 gusht, informacioni iu komunikua kompanisë, por problemi u zgjidh vetëm më 13 gusht. Studiuesit identifikuan bazën e të dhënave si pjesë e një projekti për të skanuar rrjetet dhe analizuar shërbimet e disponueshme të internetit. Nuk dihet se sa kohë mbeti në domenin publik baza e të dhënave dhe nëse sulmuesit dinin për ekzistencën e saj.
Burimi: opennet.ru