vpnMentor'dan araştırmacılar biyometrik erişim kontrol sisteminin işleyişine ilişkin 27.8 milyondan fazla kaydın (23 GB veri) saklandığı veri tabanına açık erişim imkanı Dünya çapında yaklaşık 1.5 milyon kurulumu bulunan ve büyük şirketler ve bankaların yanı sıra devlet kurumları ve polis teşkilatları da dahil olmak üzere 5700 ülkede 83'den fazla kuruluş tarafından kullanılan AEOS platformuna entegre edilmiştir. Sızıntı, herkes tarafından okunabilen Elasticsearch depolama alanının yanlış yapılandırılmasından kaynaklandı.
Sızıntı, veritabanının çoğunun şifrelenmemiş olması ve kişisel verilere (isim, telefon, e-posta, ev adresi, pozisyon, işe alınma zamanı vb.) ek olarak sistem kullanıcı erişim günlükleri, açık şifreler ( karma olmadan) ve mobil cihaz verileri, biyometrik kullanıcı tanımlaması için kullanılan yüz fotoğraflarını ve parmak izi görüntülerini içerir.
Toplamda, veritabanı belirli kişilerle ilişkili bir milyondan fazla orijinal parmak izi taraması tespit etti. Değiştirilemeyen açık parmak izi görüntülerinin varlığı, saldırganların bir şablon kullanarak parmak izi sahteciliği yapmasına ve bunu erişim kontrol sistemlerini atlatmak veya yanlış iz bırakmak için kullanmasına olanak tanıyor. Aralarında “Şifre” ve “abcd1234” gibi pek çok önemsiz şifrenin bulunduğu şifrelerin kalitesine özellikle dikkat edilir.
Üstelik veri tabanı BioStar 2 yöneticilerinin kimlik bilgilerini de içerdiğinden, bir saldırı durumunda saldırganlar sistemin web arayüzüne tam erişim kazanabiliyor ve bunu kayıt eklemek, düzenlemek ve silmek için kullanabiliyordu. Örneğin, fiziksel erişim elde etmek için parmak izi verilerini değiştirebilir, erişim haklarını değiştirebilir ve günlüklerden izinsiz giriş izlerini kaldırabilirler.
Sorunun 5 Ağustos'ta tespit edilmesi dikkat çekici, ancak daha sonra araştırmacıları dinlemek istemeyen BioStar 2'nin yaratıcılarına bilgi aktarmak için birkaç gün harcandı. Son olarak 7 Ağustos'ta bilgi şirkete iletildi ancak sorun ancak 13 Ağustos'ta çözüldü. Araştırmacılar veritabanını ağları tarama ve mevcut web hizmetlerini analiz etme projesinin parçası olarak tanımladılar. Veritabanının ne kadar süreyle kamuya açık alanda kaldığı ve saldırganların veritabanının varlığından haberdar olup olmadığı bilinmiyor.
Kaynak: opennet.ru