vpnMentor 的研究人員
由於大部分資料庫未加密,除了個人資料(姓名、電話、電子郵件、家庭住址、職位、僱用時間等)之外,系統使用者存取日誌、開放密碼(沒有列出)和行動裝置數據,包括用於生物辨識使用者辨識的臉部照片和指紋影像。
該資料庫總共識別出超過一百萬個與特定人員相關的原始指紋掃描。 由於無法更改的開放指紋圖像的存在,攻擊者可以使用模板偽造指紋,並使用它繞過存取控制系統或留下虛假痕跡。 特別注意密碼的質量,其中有許多瑣碎的密碼,例如“Password”和“abcd1234”。
此外,由於資料庫還包含 BioStar 2 管理員的憑證,因此在發生攻擊時,攻擊者可以獲得對系統 Web 介面的完全存取權限,並使用它來新增、編輯和刪除記錄。 例如,他們可以替換指紋資料以獲得實體存取、更改存取權限以及從日誌中刪除入侵痕跡。
值得注意的是,該問題是在 5 月 2 日發現的,但隨後花了幾天時間向 BioStar 7 的創建者傳達訊息,而後者並不想聽取研究人員的意見。 最終在13月XNUMX日向公司傳達了訊息,但問題直到XNUMX月XNUMX日才解決。 研究人員將該資料庫確定為掃描網路和分析可用網路服務項目的一部分。 目前尚不清楚該資料庫在公共領域保留了多久,也不清楚攻擊者是否知道它的存在。
來源: opennet.ru