Studiuesit nga vpnMentor
Rrjedhja përkeqësohet nga fakti se shumica e bazës së të dhënave nuk ishte e koduar dhe, përveç të dhënave personale (emri, telefoni, emaili, adresa e shtëpisë, pozicioni, koha e punësimit, etj.), regjistrat e aksesit të përdoruesve të sistemit, fjalëkalimet e hapura ( pa hash) dhe të dhënat e pajisjes celulare, përfshirë fotografitë e fytyrës dhe imazhet e gjurmëve të gishtërinjve të përdorura për identifikimin biometrik të përdoruesit.
Në total, baza e të dhënave ka identifikuar më shumë se një milion skanime origjinale të gjurmëve të gishtërinjve të lidhur me njerëz të veçantë. Prania e imazheve të hapura të gjurmëve të gishtërinjve që nuk mund të ndryshohen bën të mundur që sulmuesit të falsifikojnë një gjurmë gishti duke përdorur një shabllon dhe ta përdorin atë për të anashkaluar sistemet e kontrollit të aksesit ose për të lënë gjurmë të rreme. Vëmendje e veçantë i kushtohet cilësisë së fjalëkalimeve, ndër të cilat ka shumë të parëndësishme, si "Password" dhe "abcd1234".
Për më tepër, duke qenë se baza e të dhënave përfshinte gjithashtu kredencialet e administratorëve të BioStar 2, në rast sulmi, sulmuesit mund të fitonin akses të plotë në ndërfaqen e internetit të sistemit dhe ta përdornin atë për të shtuar, modifikuar dhe fshirë të dhënat. Për shembull, ata mund të zëvendësojnë të dhënat e gjurmëve të gishtërinjve për të fituar akses fizik, të ndryshojnë të drejtat e aksesit dhe të heqin gjurmët e ndërhyrjes nga regjistrat.
Vlen të përmendet se problemi u identifikua më 5 gusht, por më pas u shpenzuan disa ditë për të përcjellë informacionin te krijuesit e BioStar 2, të cilët nuk donin të dëgjonin studiuesit. Më në fund, më 7 gusht, informacioni iu komunikua kompanisë, por problemi u zgjidh vetëm më 13 gusht. Studiuesit identifikuan bazën e të dhënave si pjesë e një projekti për të skanuar rrjetet dhe analizuar shërbimet e disponueshme të internetit. Nuk dihet se sa kohë mbeti në domenin publik baza e të dhënave dhe nëse sulmuesit dinin për ekzistencën e saj.
Burimi: opennet.ru