پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > بائیو میٹرک شناختی پلیٹ فارم BioStar 28 میں استعمال ہونے والے 2 ملین ریکارڈز کا لیک

بائیو میٹرک شناختی پلیٹ فارم BioStar 28 میں استعمال ہونے والے 2 ملین ریکارڈز کا لیک

vpnMentor کے محققین شناخت ڈیٹا بیس تک کھلی رسائی کا امکان، جس میں بائیو میٹرک ایکسیس کنٹرول سسٹم کے آپریشن سے متعلق 27.8 ملین سے زیادہ ریکارڈز (23 GB ڈیٹا) محفوظ ہیں۔ بائیو اسٹار 2جس کی دنیا بھر میں تقریباً 1.5 ملین تنصیبات ہیں اور AEOS پلیٹ فارم میں ضم ہے، جسے 5700 ممالک میں 83 سے زیادہ تنظیمیں استعمال کرتی ہیں، جن میں بڑے کارپوریشنز اور بینکوں کے ساتھ ساتھ سرکاری ایجنسیاں اور پولیس محکمے بھی شامل ہیں۔ یہ لیک Elasticsearch سٹوریج کی غلط ترتیب کی وجہ سے ہوئی تھی، جو ہر کسی کے پڑھنے کے قابل نکلی۔

لیک اس حقیقت سے بڑھ گیا ہے کہ زیادہ تر ڈیٹا بیس کو خفیہ نہیں کیا گیا تھا اور ذاتی ڈیٹا (نام، فون، ای میل، گھر کا پتہ، پوزیشن، کرایہ پر لینے کا وقت، وغیرہ) کے علاوہ، سسٹم یوزر تک رسائی کے لاگز، کھلے پاس ورڈز ( ہیشنگ کے بغیر) اور موبائل ڈیوائس ڈیٹا، بشمول چہرے کی تصاویر اور فنگر پرنٹ کی تصاویر جو بائیو میٹرک صارف کی شناخت کے لیے استعمال ہوتی ہیں۔

مجموعی طور پر، ڈیٹا بیس نے مخصوص لوگوں سے وابستہ ایک ملین سے زیادہ اصل فنگر پرنٹ اسکینوں کی نشاندہی کی ہے۔ فنگر پرنٹس کی کھلی تصاویر کی موجودگی جنہیں تبدیل نہیں کیا جاسکتا حملہ آوروں کے لیے ٹیمپلیٹ کا استعمال کرتے ہوئے فنگر پرنٹ کو جعلی بنانا اور اسے رسائی کنٹرول سسٹم کو نظرانداز کرنے یا غلط نشانات چھوڑنے کے لیے استعمال کرنا ممکن بناتا ہے۔ پاس ورڈز کی کوالٹی پر خصوصی توجہ دی جاتی ہے، جن میں بہت سی معمولی چیزیں ہیں، جیسے کہ "پاس ورڈ" اور "abcd1234"۔

مزید برآں، چونکہ ڈیٹا بیس میں BioStar 2 کے منتظمین کی اسناد بھی شامل ہیں، حملے کی صورت میں حملہ آور سسٹم کے ویب انٹرفیس تک مکمل رسائی حاصل کر سکتے ہیں اور اسے ریکارڈز کو شامل کرنے، ترمیم کرنے اور حذف کرنے کے لیے استعمال کر سکتے ہیں۔ مثال کے طور پر، وہ جسمانی رسائی حاصل کرنے، رسائی کے حقوق کو تبدیل کرنے اور لاگز سے مداخلت کے نشانات کو ہٹانے کے لیے فنگر پرنٹ ڈیٹا کو تبدیل کر سکتے ہیں۔

قابل ذکر ہے کہ اس مسئلے کی نشاندہی 5 اگست کو ہوئی تھی، لیکن پھر کئی دن BioStar 2 کے تخلیق کاروں تک معلومات پہنچانے میں صرف کیے گئے، جو محققین کی بات نہیں سننا چاہتے تھے۔ آخر کار 7 اگست کو کمپنی کو اطلاع دی گئی لیکن مسئلہ 13 اگست کو ہی حل ہو گیا۔ محققین نے ڈیٹا بیس کو نیٹ ورکس کو اسکین کرنے اور دستیاب ویب سروسز کا تجزیہ کرنے کے منصوبے کے حصے کے طور پر شناخت کیا۔ یہ معلوم نہیں ہے کہ ڈیٹا بیس کب تک عوامی ڈومین میں رہا اور کیا حملہ آور اس کے وجود کے بارے میں جانتے تھے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں