Дослідники з компанії vpnMentor можливість відкритого доступу до БД, у якій зберігалося понад 27.8 млн записів (23 Гб даних), пов'язаних із роботою системи біометричного контролю доступу , яка налічує близько 1.5 млн установок по всьому світу та інтегрована у платформу AEOS, що застосовується більш ніж 5700 організаціями у 83 країнах, включаючи як великі корпорації та банки, так і урядові установи та поліцейські ділянки. Витік викликаний некоректним налаштуванням сховища Elasticsearch, яке виявилося доступним для читання всім бажаючим.
Витік посилює те, що більшість БД не була зашифрована і, крім персональних даних (ПІБ, телефон, email, домашня адреса, посада, час прийому на роботу і т.п.), лога доступу користувачів системи, відкритих паролів (без хешування) та даних про мобільні пристрої, включала фотографії осіб та знімки відбитків пальців, що використовуються для біометричної ідентифікації користувача.
Загалом у БД виявлено понад мільйон вихідних сканів відбитків пальців, пов'язаних із конкретними людьми. Наявність відкритих знімків відбитків пальців, які неможливо змінити, дає можливість зловмисникам підробити відбиток за шаблоном та скористатися ним для обходу систем обмеження доступу або для залишення помилкових слідів. Окремо звертається увага на якість паролів, серед яких дуже багато тривіальних, виду «Password» та «abcd1234».
Більш того, оскільки база включала і облікові дані адміністраторів BioStar 2, у разі атаки зловмисники могли отримати повний доступ до web-інтерфейсу системи та використовувати його для додавання, редагування та видалення записів. Наприклад, могли підмінити дані про відбиток пальців для отримання фізичного доступу, змінити права доступу та видалити сліди проникнення з логів.
Примітно, що проблему виявили 5 серпня, але потім кілька днів було витрачено на те, щоб донести інформацію до творців BioStar 2, які не бажали вислуховувати дослідників. Нарешті 7 серпня інформацію було доведено до компанії, але проблему було усунуто лише 13 серпня. Дослідники виявили БД у рамках проекту зі сканування мереж та аналізу доступних web-сервісів. Невідомо, наскільки довго БД залишалася у відкритому доступі та чи знали про її існування зловмисники.
Джерело: opennet.ru