Mga mananaliksik mula sa vpnMentor ang posibilidad ng bukas na pag-access sa database, na nag-imbak ng higit sa 27.8 milyong mga talaan (23 GB ng data) na may kaugnayan sa pagpapatakbo ng biometric access control system , na may humigit-kumulang 1.5 milyong mga instalasyon sa buong mundo at isinama sa platform ng AEOS, na ginagamit ng higit sa 5700 organisasyon sa 83 bansa, kabilang ang malalaking korporasyon at bangko, pati na rin ang mga ahensya ng gobyerno at istasyon ng pulisya. Ang pagtagas ay sanhi ng maling configuration ng storage ng Elasticsearch, na naging mababasa ng lahat.
Ang pagtagas ay pinalala ng katotohanan na ang karamihan sa database ay hindi naka-encrypt at, bilang karagdagan sa personal na data (pangalan, telepono, email, address ng bahay, posisyon, oras ng trabaho, atbp.), access log ng mga gumagamit ng system, bukas na mga password (nang walang hashing) at data ng mobile device, kabilang ang mga larawan ng mga mukha at fingerprint na ginagamit para sa biometric na pagkakakilanlan ng user.
Sa kabuuan, higit sa isang milyong orihinal na pag-scan ng fingerprint na nauugnay sa mga partikular na tao ang natukoy sa database. Ang pagkakaroon ng mga bukas na fingerprint na hindi mababago ay ginagawang posible para sa mga umaatake na gumawa ng fingerprint ayon sa isang template at gamitin ito upang i-bypass ang mga access control system o mag-iwan ng mga maling bakas. Ang hiwalay na atensyon ay iginuhit sa kalidad ng mga password, kung saan mayroong maraming mga walang halaga, tulad ng "Password" at "abcd1234".
Bukod dito, dahil kasama rin sa database ang mga kredensyal ng mga administrador ng BioStar 2, sa kaganapan ng isang pag-atake, ang mga umaatake ay maaaring makakuha ng ganap na access sa web interface ng system at gamitin ito upang magdagdag, mag-edit, at magtanggal ng mga entry. Halimbawa, maaari nilang baguhin ang data ng fingerprint upang makakuha ng pisikal na pag-access, baguhin ang mga karapatan sa pag-access, at alisin ang mga bakas ng pagtagos mula sa mga log.
Kapansin-pansin na ang problema ay natukoy noong Agosto 5, ngunit pagkatapos ay ilang araw ang ginugol sa paghahatid ng impormasyon sa mga tagalikha ng BioStar 2, na ayaw makinig sa mga mananaliksik. Sa wakas, noong Agosto 7, ang impormasyon ay dinala sa kumpanya, ngunit ang problema ay naayos lamang noong Agosto 13. Tinukoy ng mga mananaliksik ang database bilang bahagi ng isang proyekto upang i-scan ang mga network at pag-aralan ang mga magagamit na serbisyo sa web. Hindi alam kung gaano katagal nanatili ang database sa pampublikong domain at kung alam ng mga umaatake ang tungkol sa pagkakaroon nito.
Pinagmulan: opennet.ru