vpnMentor 的研究人员 开放访问数据库的可能性,该数据库存储了与生物识别访问控制系统操作相关的超过 27.8 万条记录(23 GB 数据) ,该软件在全球拥有约 1.5 万个安装量,并集成到 AEOS 平台中,被 5700 个国家的 83 多个组织使用,其中包括大型企业和银行,以及政府机构和警察部门。 泄漏是由于 Elasticsearch 存储的错误配置造成的,结果证明任何人都可以读取该存储。
由于大部分数据库未加密,除了个人数据(姓名、电话、电子邮件、家庭住址、职位、雇用时间等)之外,系统用户访问日志、开放密码(没有散列)和移动设备数据,包括用于生物识别用户识别的面部照片和指纹图像。
该数据库总共识别出超过一百万个与特定人员相关的原始指纹扫描。 由于无法更改的开放指纹图像的存在,攻击者可以使用模板伪造指纹,并使用它绕过访问控制系统或留下虚假痕迹。 特别注意密码的质量,其中有很多琐碎的密码,例如“Password”和“abcd1234”。
此外,由于该数据库还包含 BioStar 2 管理员的凭据,因此在发生攻击时,攻击者可以获得对系统 Web 界面的完全访问权限,并使用它来添加、编辑和删除记录。 例如,他们可以替换指纹数据以获得物理访问、更改访问权限以及从日志中删除入侵痕迹。
值得注意的是,该问题是在 5 月 2 日发现的,但随后花了几天时间向 BioStar 7 的创建者传达信息,而后者并不想听取研究人员的意见。 最终在13月XNUMX日向公司传达了信息,但问题直到XNUMX月XNUMX日才得到解决。 研究人员将该数据库确定为扫描网络和分析可用网络服务项目的一部分。 目前尚不清楚该数据库在公共领域保留了多久,也不清楚攻击者是否知道它的存在。
来源: opennet.ru