vpnMentor 的研究人員 開放存取資料庫的可能性,該資料庫儲存了與生物識別存取控制系統操作相關的超過 27.8 萬筆記錄(23 GB 資料) ,該軟體在全球擁有約 1.5 萬個安裝量,並整合到 AEOS 平台中,被 5700 個國家的 83 多個組織使用,其中包括大型企業和銀行,以及政府機構和警察部門。 洩漏是由於 Elasticsearch 儲存的錯誤配置造成的,結果證明任何人都可以讀取該儲存。
由於大部分資料庫未加密,除了個人資料(姓名、電話、電子郵件、家庭住址、職位、僱用時間等)之外,系統使用者存取日誌、開放密碼(沒有列出)和行動裝置數據,包括用於生物辨識使用者辨識的臉部照片和指紋影像。
該資料庫總共識別出超過一百萬個與特定人員相關的原始指紋掃描。 由於無法更改的開放指紋圖像的存在,攻擊者可以使用模板偽造指紋,並使用它繞過存取控制系統或留下虛假痕跡。 特別注意密碼的質量,其中有許多瑣碎的密碼,例如“Password”和“abcd1234”。
此外,由於資料庫還包含 BioStar 2 管理員的憑證,因此在發生攻擊時,攻擊者可以獲得對系統 Web 介面的完全存取權限,並使用它來新增、編輯和刪除記錄。 例如,他們可以替換指紋資料以獲得實體存取、更改存取權限以及從日誌中刪除入侵痕跡。
值得注意的是,該問題是在 5 月 2 日發現的,但隨後花了幾天時間向 BioStar 7 的創建者傳達訊息,而後者並不想聽取研究人員的意見。 最終在13月XNUMX日向公司傳達了訊息,但問題直到XNUMX月XNUMX日才解決。 研究人員將該資料庫確定為掃描網路和分析可用網路服務項目的一部分。 目前尚不清楚該資料庫在公共領域保留了多久,也不清楚攻擊者是否知道它的存在。
來源: opennet.ru