Panaliti ti vpnMentor kamungkinan aksés kabuka ka pangkalan data, anu nyimpen langkung ti 27.8 juta rékaman (23 GB data) anu aya hubunganana sareng operasi sistem kontrol aksés biometric. , nu boga kira 1.5 juta pamasangan di sakuliah dunya sarta terpadu kana platform AEOS, dipaké ku leuwih ti 5700 organisasi di 83 nagara, kaasup korporasi badag sarta bank, kitu ogé agénsi pamaréntah jeung departemén pulisi. Bocor ieu disababkeun ku konfigurasi gudang Elasticsearch anu salah, anu tétéla tiasa dibaca ku saha waé.
Bocoran ieu diperparah ku kanyataan yén kalolobaan pangkalan data henteu énkripsi sareng, salian data pribadi (nami, telepon, email, alamat bumi, posisi, waktos nyéwa, jsb.), log aksés pangguna sistem, kecap akses muka ( tanpa hashing) sareng data alat sélulér, kalebet poto raray sareng gambar sidik anu dianggo pikeun idéntifikasi pangguna biometrik.
Dina total, pangkalan data parantos ngaidentipikasi langkung ti sajuta scan sidik asli anu aya hubunganana sareng jalma khusus. Ayana gambar sidik sidik anu kabuka anu teu tiasa dirobih ngamungkinkeun panyerang ngamalkeun sidik sidik nganggo citakan sareng dianggo pikeun ngaliwat sistem kontrol aksés atanapi ngantunkeun jejak palsu. Perhatian husus dibayar ka kualitas kecap akses, diantara nu aya loba hal trivial, kayaning "Sandi" jeung "abcd1234".
Sumawona, saprak pangkalan data ogé kalebet kredensial pangurus BioStar 2, upami aya serangan, panyerang tiasa nampi aksés pinuh kana antarmuka wéb sistem sareng dianggo pikeun nambihan, ngédit sareng ngahapus rékaman. Contona, aranjeunna bisa ngaganti data sidik pikeun meunangkeun aksés fisik, ngarobah hak aksés jeung miceun ngambah intrusion tina log.
Éta noteworthy yén masalah ieu dicirikeun dina 5 Agustus, tapi lajeng sababaraha poé spent conveying informasi ka panyipta BioStar 2, anu teu hayang ngadéngékeun peneliti. Tungtungna, dina 7 Agustus, informasi ieu disampaikeun ka pausahaan, tapi masalah ieu ngan direngsekeun dina 13 Agustus. Panaliti ngaidentipikasi pangkalan data salaku bagian tina proyék pikeun nyeken jaringan sareng nganalisis jasa wéb anu sayogi. Henteu dipikanyaho sabaraha lila pangkalan data tetep dina domain umum sareng naha panyerang terang ngeunaan ayana.
sumber: opennet.ru