Утечка данных системы BioStar 2 выдала личную информацию миллиона человек

_mqopxldvg2xvduwa1go2hytxlg.jpeg

Компания vpnMentor опубликовала сообщение об обнаружении в открытом доступе базы данных, которая содержала почти 28 миллионов записей, включая пароли, фото, данные мобильных устройств и личную информацию пользователей биометрической системы Biostar 2. Кроме того, в базе данных находились отсканированные отпечатки пальцев около миллиона человек.

Biostar 2 на сегодня насчитывает около полутора миллионов установок. Система интегрирована в платформу AEOS, с которой работает более 5,7 тысяч предприятий в 83 странах, среди которых США, Великобритания, Индонезия, ОАЭ, Индия и Шри-Ланка. Список организаций включает в себя как коммерческие предприятия, так и государственные учреждения, например, полицейские участки и даже Скотланд-Ярд.
Как заявляют в vpnMentor, одним из самых уязвимых мест системы оказались пароли к учётным записям.

«Удивительно, насколько слабыми были пароли к учетным записям, — пишут исследователи vpnMentor Ноам Ротем и Рэн Локар. — Многие учетные записи имели смехотворно простые пароли, например, password или abcd1234. Трудно представить, что люди до сих пор не понимают, как легко в таких условиях можно получить доступ к чужой учетной записи».

Команда обнаружила, что большая часть данных BioStar 2 не была защищена должным образом, пишут исследователи.

«Система использует базу данных Elasticsearch, которая обычно не предназначена для использования URL-адресов. Однако мы смогли получить к ней доступ через браузер».

По сведениям vpnMentor, система также позволяет добавлять, удалять или изменять записи. Это давало возможность неавторизованным пользователям получать доступ к конфиденциальной информации и открывало двери для кражи личных данных, фишинговых атак, шантажа и вымогательства.

Исследователи vpnMentor заявили, что нашли открытую базу данных ещё 5 августа и через два дня сообщили о ее обнаружении. База находилась в открытом доступе ещё шесть дней.

© Habrahabr.ru