Исследователи из компании vpnMentor выявили возможность открытого доступа к БД, в которой хранилось более 27.8 млн записей (23 Гб данных), связанных с работой системы биометрического контроля доступа Biostar 2, которая насчитывает около 1.5 млн установок по всему миру и интегрирована в платформу AEOS, применяемую более чем 5700 организациями в 83 странах, включая как крупные корпорации и банки, так и правительственные учреждения и полицейские участки. Утечка вызвана некорректной настройкой хранилища Elasticsearch, которое оказалось доступно на чтение всем желающим.
Утечку усугубляет то, что большая часть БД не была зашифрована и, помимо персональных данных (ФИО, телефон, email, домашний адрес, должность, время приёма на работу и т.п.), лога доступа пользователей системы, открытых паролей (без хэширования) и данных о мобильных устройствах, включала фотографии лиц и снимки отпечатков пальцев, используемые для биометрической идентификации пользователя.
Всего в БД выявлено более миллиона исходных сканов отпечатков пальцев, связанных с конкретными людьми. Наличие открытых снимков отпечатков пальцев, которые невозможно поменять, даёт возможность злоумышленникам подделать отпечаток по шаблону и воспользоваться им для обхода систем ограничения доступа или для оставления ложных следов.
Более того, так как база включала и учётные данные администраторов BioStar 2, в случае атаки злоумышленники могли получить полный доступ к web-интерфейсу системы и использовать его для добавления, редактирования и удаления записей. Например, могли подменить данные об отпечатке пальцев для получения физического доступа, изменить права доступа и удалить из логов следы проникновения.
Примечательно, что проблема была выявлена 5 августа, но затем несколько дней было потрачено на то, чтобы донести информацию до создателей BioStar 2, которые не желали выслушивать исследователей. Наконец 7 августа информация была доведена до компании, но проблема была устранена только 13 августа. Исследователи выявили БД в рамках проекта по сканированию сетей и анализу доступных web-сервисов. Неизвестно, насколько долго БД оставалась в открытом доступе и знали ли о её существовании злоумышленники.
«Удивительно, насколько слабыми были пароли к учетным записям, — пишут исследователи vpnMentor Ноам Ротем и Рэн Локар. — Многие учетные записи имели смехотворно простые пароли, например, password или abcd1234. Трудно представить, что люди до сих пор не понимают, как легко в таких условиях можно получить доступ к чужой учетной записи».
Команда обнаружила, что большая часть данных BioStar 2 не была защищена должным образом, пишут исследователи.
«Система использует базу данных Elasticsearch, которая обычно не предназначена для использования URL-адресов. Однако мы смогли получить к ней доступ через браузер».