Forskare från vpnMentor möjligheten till öppen åtkomst till databasen, som lagrade mer än 27.8 miljoner poster (23 GB data) relaterade till driften av det biometriska åtkomstkontrollsystemet , som har cirka 1.5 miljoner installationer över hela världen och är integrerad i AEOS-plattformen, som används av mer än 5700 83 organisationer i XNUMX länder, inklusive stora företag och banker, såväl som statliga myndigheter och polisavdelningar. Läckan orsakades av felaktig konfiguration av Elasticsearch-lagringen, som visade sig vara läsbar för alla.
Läckan förvärras av det faktum att större delen av databasen inte var krypterad och, förutom personuppgifter (fullständigt namn, telefon, e-post, hemadress, befattning, anställningstid, etc.), systemanvändarloggar, öppna lösenord (utan hash) och mobil enhetsdata, inklusive ansiktsfotografier och fingeravtrycksbilder som används för biometrisk användaridentifiering.
Totalt har databasen identifierat mer än en miljon ursprungliga fingeravtrycksskanningar associerade med specifika personer. Förekomsten av öppna bilder av fingeravtryck som inte kan ändras gör det möjligt för angripare att förfalska ett fingeravtryck med hjälp av en mall och använda den för att kringgå åtkomstkontrollsystem eller lämna falska spår. Särskild uppmärksamhet ägnas åt kvaliteten på lösenord, bland vilka det finns många triviala, som "Lösenord" och "abcd1234".
Dessutom, eftersom databasen även inkluderade referenser från BioStar 2-administratörer, kunde angripare i händelse av en attack få full tillgång till systemets webbgränssnitt och använda det för att lägga till, redigera och ta bort poster. De kan till exempel ersätta fingeravtrycksdata för att få fysisk åtkomst, ändra åtkomsträttigheter och ta bort spår av intrång från loggar.
Det är anmärkningsvärt att problemet identifierades den 5 augusti, men sedan ägnades flera dagar åt att förmedla information till skaparna av BioStar 2, som inte ville lyssna på forskarna. Slutligen, den 7 augusti, kommunicerades informationen till företaget, men problemet löstes först den 13 augusti. Forskare identifierade databasen som en del av ett projekt för att skanna nätverk och analysera tillgängliga webbtjänster. Det är okänt hur länge databasen förblev i offentlig egendom och om angriparna visste om dess existens.
Källa: opennet.ru