Watafiti kutoka vpnMentor uwezekano wa ufikiaji wazi wa hifadhidata, ambayo ilihifadhi rekodi zaidi ya milioni 27.8 (23 GB ya data) zinazohusiana na uendeshaji wa mfumo wa udhibiti wa ufikiaji wa biometriska. , ambayo ina takriban mitambo milioni 1.5 duniani kote na imeunganishwa kwenye jukwaa la AEOS, linalotumiwa na zaidi ya mashirika 5700 katika nchi 83, yakiwemo makampuni makubwa na benki, pamoja na mashirika ya serikali na idara za polisi. Uvujaji huo ulisababishwa na usanidi usio sahihi wa hifadhi ya Elasticsearch, ambayo ilionekana kusomeka na mtu yeyote.
Uvujaji huo unazidishwa na ukweli kwamba hifadhidata nyingi hazijasimbwa na, pamoja na data ya kibinafsi (jina, simu, barua pepe, anwani ya nyumbani, msimamo, wakati wa kukodisha, nk), kumbukumbu za ufikiaji wa mtumiaji, fungua nywila ( bila hashing) na data ya kifaa cha mkononi, iliyojumuisha picha za usoni na picha za alama za vidole zinazotumiwa kutambua mtumiaji wa kibayometriki.
Kwa jumla, hifadhidata imetambua zaidi ya alama milioni moja za alama za vidole asili zinazochanganuliwa zinazohusiana na watu mahususi. Uwepo wa picha wazi za alama za vidole ambazo haziwezi kubadilishwa hufanya iwezekane kwa washambuliaji kughushi alama ya vidole kwa kutumia kiolezo na kuitumia kukwepa mifumo ya udhibiti wa ufikiaji au kuacha alama za uwongo. Uangalifu maalum hulipwa kwa ubora wa nywila, kati ya ambayo kuna mengi madogo, kama vile "Nenosiri" na "abcd1234".
Zaidi ya hayo, kwa kuwa hifadhidata pia ilijumuisha sifa za wasimamizi wa BioStar 2, katika tukio la shambulio, washambuliaji wanaweza kupata ufikiaji kamili wa kiolesura cha wavuti cha mfumo na kuitumia kuongeza, kuhariri na kufuta rekodi. Kwa mfano, zinaweza kuchukua nafasi ya data ya alama za vidole ili kupata ufikiaji halisi, kubadilisha haki za ufikiaji na kuondoa athari za kuingiliwa kutoka kwa kumbukumbu.
Ni muhimu kukumbuka kuwa shida iligunduliwa mnamo Agosti 5, lakini basi siku kadhaa zilitumika kuwasilisha habari kwa waundaji wa BioStar 2, ambao hawakutaka kusikiliza watafiti. Hatimaye, mnamo Agosti 7, habari hiyo iliwasilishwa kwa kampuni, lakini tatizo lilitatuliwa tu Agosti 13. Watafiti walitambua hifadhidata kama sehemu ya mradi wa kuchanganua mitandao na kuchambua huduma zinazopatikana za wavuti. Haijulikani ni muda gani hifadhidata ilibaki katika uwanja wa umma na ikiwa washambuliaji walijua kuhusu kuwepo kwake.
Chanzo: opennet.ru