vpnMentor کے محققین
لیک اس حقیقت سے بڑھ گیا ہے کہ زیادہ تر ڈیٹا بیس کو خفیہ نہیں کیا گیا تھا اور ذاتی ڈیٹا (نام، فون، ای میل، گھر کا پتہ، پوزیشن، کرایہ پر لینے کا وقت، وغیرہ) کے علاوہ، سسٹم یوزر تک رسائی کے لاگز، کھلے پاس ورڈز ( ہیشنگ کے بغیر) اور موبائل ڈیوائس ڈیٹا، بشمول چہرے کی تصاویر اور فنگر پرنٹ کی تصاویر جو بائیو میٹرک صارف کی شناخت کے لیے استعمال ہوتی ہیں۔
مجموعی طور پر، ڈیٹا بیس نے مخصوص لوگوں سے وابستہ ایک ملین سے زیادہ اصل فنگر پرنٹ اسکینوں کی نشاندہی کی ہے۔ فنگر پرنٹس کی کھلی تصاویر کی موجودگی جنہیں تبدیل نہیں کیا جاسکتا حملہ آوروں کے لیے ٹیمپلیٹ کا استعمال کرتے ہوئے فنگر پرنٹ کو جعلی بنانا اور اسے رسائی کنٹرول سسٹم کو نظرانداز کرنے یا غلط نشانات چھوڑنے کے لیے استعمال کرنا ممکن بناتا ہے۔ پاس ورڈز کی کوالٹی پر خصوصی توجہ دی جاتی ہے، جن میں بہت سی معمولی چیزیں ہیں، جیسے کہ "پاس ورڈ" اور "abcd1234"۔
مزید برآں، چونکہ ڈیٹا بیس میں BioStar 2 کے منتظمین کی اسناد بھی شامل ہیں، حملے کی صورت میں حملہ آور سسٹم کے ویب انٹرفیس تک مکمل رسائی حاصل کر سکتے ہیں اور اسے ریکارڈز کو شامل کرنے، ترمیم کرنے اور حذف کرنے کے لیے استعمال کر سکتے ہیں۔ مثال کے طور پر، وہ جسمانی رسائی حاصل کرنے، رسائی کے حقوق کو تبدیل کرنے اور لاگز سے مداخلت کے نشانات کو ہٹانے کے لیے فنگر پرنٹ ڈیٹا کو تبدیل کر سکتے ہیں۔
قابل ذکر ہے کہ اس مسئلے کی نشاندہی 5 اگست کو ہوئی تھی، لیکن پھر کئی دن BioStar 2 کے تخلیق کاروں تک معلومات پہنچانے میں صرف کیے گئے، جو محققین کی بات نہیں سننا چاہتے تھے۔ آخر کار 7 اگست کو کمپنی کو اطلاع دی گئی لیکن مسئلہ 13 اگست کو ہی حل ہو گیا۔ محققین نے ڈیٹا بیس کو نیٹ ورکس کو اسکین کرنے اور دستیاب ویب سروسز کا تجزیہ کرنے کے منصوبے کے حصے کے طور پر شناخت کیا۔ یہ معلوم نہیں ہے کہ ڈیٹا بیس کب تک عوامی ڈومین میں رہا اور کیا حملہ آور اس کے وجود کے بارے میں جانتے تھے۔
ماخذ: opennet.ru