Mega-Datenleck

Mehr als eine Million Fingerabdrücke offen im Netz

+
Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. Foto: Sebastian Kahnert/zb

Fingerabdrücke und andere biometrische Merkmale sind als Zugangsdaten besonders sensibel, weil man sie bei einem Dateneinbruch im Gegensatz zu einem Passwort nicht einfach ändern kann. Nun ist ein gigantisches Datenleck bei einer Biometrie-Firma entdeckt worden.

Tel Aviv/London (dpa) - Eine riesige Datenbank mit hochsensiblen Daten, darunter rund eine Million Fingerabdrücke, hat einen längeren Zeitraum ungeschützt und unverschlüsselt im Netz gestanden.

Wie die israelischen Sicherheitsforscher Noam Rotem und Ran Lokar vom VPN-Vergleichsportals vpnMentor am Mittwoch berichteten, stammen die Daten von der Plattform "Biostar 2" der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben in Europa Marktführer bei biometrischen Zutrittskontrollsystemen ist. Über das Sicherheitsleck hatten zuerst der britische "Guardian" sowie das israelische Portal "Calacalist" berichtet.

"Biostar 2" arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Das System wird nach Angaben vom "Guardian" auch von der britischen Polizei sowie mehreren Unternehmen aus der Rüstungsindustrie sowie Banken genutzt.

Unter den Kunden aus Deutschland hatten die Forscher Zugriff auf Daten der Firma Identbase. Das Unternehmen befasst sich mit Technologie zum Drucken von ID- und Zugangskarten.

"Das Leck ist riesig", erklärten die beiden Sicherheitsforscher. "Es gefährdet nicht nur betroffene Geschäfte und Organisationen, sondern auch die Angestellten." Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal "Calcalist".

Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23 Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können. "Böswillige Agenten könnten das Leck nutzen, um sichere Einrichtungen zu hacken und die Sicherheitsprotokolle für kriminelle Aktivitäten zu manipulieren."

Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. "Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können", sagten die Forscher dem "Guardian". Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: "Viele Konten enthielten lächerlich einfache Passwörter wie "Passwort" und "abcd1234"."

Der Marketingleiter von Suprema, Andy Ahn, sagte dem "Guardian", das Unternehmen habe eine "eingehende Bewertung" der von vpnMentor bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert werde. Die Firma vpnMentor erklärte, die Sicherheitslücke sei am Dienstag geschlossen worden, eine Woche, nachdem das Leck entdeckt wurde.

Blogeintrag vpnMentor

Bericht im Guardian

Bericht auf des israelischen Portal Calcalist

Mehr zum Thema

Das könnte Sie auch interessieren

Meistgelesene Artikel

Mini-Mond gefunden: Die Erde hat einen zweiten Mond – allerdings nur vorübergehend

Ein zweiter Mond umkreist die Erde schon seit einiger Zeit, haben Forscher entdeckt. Allerdings wird sich der Asteroid bald wieder verabschieden.
Mini-Mond gefunden: Die Erde hat einen zweiten Mond – allerdings nur vorübergehend

WhatsApp: Daten auch nach Löschung nicht sicher? Das sagt Facebook

WhatsApp hat mal wieder Probleme mit dem Datenschutz. Selbst nach der Deinstallation der App scheinen die eigenen Daten auf dem Handy nicht sicher zu sein.
WhatsApp: Daten auch nach Löschung nicht sicher? Das sagt Facebook

WhatsApp: Horst Seehofer will für Polizei Datenschutz aufweichen

Bei WhatsApp gibt es die Ende-zu-Ende-Verschlüsselung, welche die Daten der Nutzer schützen soll. Horst Seehofer (CSU) will ein Gesetz, um dieser Sicherheitsmaßnahme zu …
WhatsApp: Horst Seehofer will für Polizei Datenschutz aufweichen

WhatsApp: Gefährlicher Kettenbrief - Dark Mode nur einen Klick entfernt

Vorsicht vor einem gefährlichen Kettenbrief: In WhatsApp geht eine Nachricht um, die iPhone- und Android-Nutzern den Dark Mode verspricht.
WhatsApp: Gefährlicher Kettenbrief - Dark Mode nur einen Klick entfernt

Kommentare

Hinweise für das Kommentieren

Von Mo. bis Fr. in der Zeit von 18 bis 9 Uhr und am Wochenende werden keine neuen Kommentare freigeschaltet.
Bitte bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht.