Компания vpnMentor опубликовала сообщение об обнаружении в открытом доступе базы данных, которая содержала почти 28 миллионов записей, включая пароли, фото, данные мобильных устройств и личную информацию пользователей биометрической системы Biostar 2. Кроме того, в базе данных находились отсканированные отпечатки пальцев около миллиона человек.
Biostar 2 на сегодня насчитывает около полутора миллионов установок. Система интегрирована в платформу AEOS, с которой работает более 5,7 тысяч предприятий в 83 странах, среди которых США, Великобритания, Индонезия, ОАЭ, Индия и Шри-Ланка. Список организаций включает в себя как коммерческие предприятия, так и государственные учреждения, например, полицейские участки и даже Скотланд-Ярд.
Как заявляют в vpnMentor, одним из самых уязвимых мест системы оказались пароли к учётным записям.
«Удивительно, насколько слабыми были пароли к учетным записям, — пишут исследователи vpnMentor Ноам Ротем и Рэн Локар. — Многие учетные записи имели смехотворно простые пароли, например, password или abcd1234. Трудно представить, что люди до сих пор не понимают, как легко в таких условиях можно получить доступ к чужой учетной записи».
Команда обнаружила, что большая часть данных BioStar 2 не была защищена должным образом, пишут исследователи.
«Система использует базу данных Elasticsearch, которая обычно не предназначена для использования URL-адресов. Однако мы смогли получить к ней доступ через браузер».
По сведениям vpnMentor, система также позволяет добавлять, удалять или изменять записи. Это давало возможность неавторизованным пользователям получать доступ к конфиденциальной информации и открывало двери для кражи личных данных, фишинговых атак, шантажа и вымогательства.
Исследователи vpnMentor заявили, что нашли открытую базу данных ещё 5 августа и через два дня сообщили о ее обнаружении. База находилась в открытом доступе ещё шесть дней.
Автор: AnnieBronson
