นักวิจัยจาก vpnMentor ความเป็นไปได้ของการเข้าถึงฐานข้อมูลแบบเปิดซึ่งจัดเก็บมากกว่า 27.8 ล้านบันทึก (ข้อมูล 23 GB) ที่เกี่ยวข้องกับการทำงานของระบบควบคุมการเข้าถึงไบโอเมตริกซ์ ซึ่งมีการติดตั้งประมาณ 1.5 ล้านครั้งทั่วโลก และบูรณาการเข้ากับแพลตฟอร์ม AEOS ซึ่งมีการใช้งานโดยองค์กรมากกว่า 5700 แห่งใน 83 ประเทศ รวมถึงองค์กรขนาดใหญ่และธนาคาร ตลอดจนหน่วยงานรัฐบาลและกรมตำรวจ การรั่วไหลเกิดจากการกำหนดค่าที่ไม่ถูกต้องของที่เก็บข้อมูล Elasticsearch ซึ่งกลายเป็นว่าใครก็ตามสามารถอ่านได้
การรั่วไหลนี้รุนแรงขึ้นจากข้อเท็จจริงที่ว่าฐานข้อมูลส่วนใหญ่ไม่ได้เข้ารหัส และนอกเหนือจากข้อมูลส่วนบุคคล (ชื่อ โทรศัพท์ อีเมล ที่อยู่บ้าน ตำแหน่ง เวลาจ้าง ฯลฯ) บันทึกการเข้าถึงของผู้ใช้ระบบ รหัสผ่านที่เปิด ( โดยไม่ต้องแฮช) และข้อมูลอุปกรณ์เคลื่อนที่ รวมถึงภาพถ่ายใบหน้าและภาพลายนิ้วมือที่ใช้เพื่อระบุตัวตนผู้ใช้ไบโอเมตริกซ์
โดยรวมแล้ว ฐานข้อมูลได้ระบุการสแกนลายนิ้วมือต้นฉบับมากกว่าล้านรายการที่เกี่ยวข้องกับบุคคลใดบุคคลหนึ่ง การมีอยู่ของรูปภาพลายนิ้วมือที่เปิดอยู่ซึ่งไม่สามารถเปลี่ยนแปลงได้ทำให้ผู้โจมตีสามารถปลอมลายนิ้วมือโดยใช้เทมเพลต และใช้ลายนิ้วมือเพื่อหลีกเลี่ยงระบบควบคุมการเข้าถึงหรือทิ้งร่องรอยอันเป็นเท็จ คุณภาพของรหัสผ่านนั้นให้ความสนใจเป็นพิเศษ ซึ่งมีเรื่องเล็กน้อยมากมาย เช่น "รหัสผ่าน" และ "abcd1234"
ยิ่งไปกว่านั้น เนื่องจากฐานข้อมูลยังรวมข้อมูลประจำตัวของผู้ดูแลระบบ BioStar 2 ไว้ด้วย ในกรณีที่มีการโจมตี ผู้โจมตีจะสามารถเข้าถึงเว็บอินเทอร์เฟซของระบบได้เต็มรูปแบบ และใช้เพื่อเพิ่ม แก้ไข และลบบันทึกได้ ตัวอย่างเช่น พวกเขาสามารถแทนที่ข้อมูลลายนิ้วมือเพื่อเข้าถึงทางกายภาพ เปลี่ยนสิทธิ์การเข้าถึง และลบร่องรอยการบุกรุกออกจากบันทึก
เป็นที่น่าสังเกตว่าปัญหาได้รับการระบุในวันที่ 5 สิงหาคม แต่จากนั้นก็ใช้เวลาหลายวันในการถ่ายทอดข้อมูลไปยังผู้สร้าง BioStar 2 ซึ่งไม่ต้องการฟังนักวิจัย ในที่สุดเมื่อวันที่ 7 สิงหาคม ข้อมูลดังกล่าวก็ได้รับแจ้งไปยังบริษัท แต่ปัญหาได้รับการแก้ไขในวันที่ 13 สิงหาคมเท่านั้น นักวิจัยระบุว่าฐานข้อมูลเป็นส่วนหนึ่งของโครงการสแกนเครือข่ายและวิเคราะห์บริการเว็บที่มีอยู่ ไม่ทราบว่าฐานข้อมูลดังกล่าวเป็นสาธารณสมบัตินานเท่าใด และผู้โจมตีทราบหรือไม่ว่าฐานข้อมูลมีอยู่จริง
ที่มา: opennet.ru