News

Mehr als eine Million Fingerabdrücke offen im Netz

(Foto: mirtmirt/Shutterstock)

Fingerabdrücke und andere biometrische Merkmale sind als Zugangsdaten besonders sensibel, weil man sie bei einem Dateneinbruch im Gegensatz zu einem Passwort nicht einfach ändern kann. Nun ist ein gigantisches Datenleck bei einer Biometrie-Firma entdeckt worden.

Eine riesige Datenbank mit hochsensiblen Daten, darunter rund eine Million Fingerabdrücke, hat einen längeren Zeitraum ungeschützt und unverschlüsselt im Netz gestanden. Wie die israelischen Sicherheitsforscher Noam Rotem und Ran Lokar vom VPN-Vergleichsportals vpnMentor am Mittwoch berichteten, stammen die Daten von der Plattform „Biostar 2“ der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben in Europa Marktführer bei biometrischen Zutrittskontrollsystemen ist. Über das Sicherheitsleck hatten zuerst der britische „Guardian“ sowie das israelische Portal „Calcalist“ berichtet.

„Biostar 2“ arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Das System wird nach Angaben vom „Guardian“ auch von der britischen Polizei sowie mehreren Unternehmen aus der Rüstungsindustrie und Banken genutzt.

Unter den Kunden aus Deutschland hatten die Forscher Zugriff auf Daten der Firma Identbase. Das Unternehmen befasst sich mit Technologie zum Drucken von ID- und Zugangskarten.

„Das Leck ist riesig“, erklärten die beiden Sicherheitsforscher. „Es gefährdet nicht nur betroffene Geschäfte und Organisationen, sondern auch die Angestellten.“ Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal „Calcalist“.

Teilweise lächerliche Passwörter

Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23 Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können. „Böswillige Agenten könnten das Leck nutzen, um sichere Einrichtungen zu hacken und die Sicherheitsprotokolle für kriminelle Aktivitäten zu manipulieren.“

Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. „Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können“, sagten die Forscher dem „Guardian“. Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: „Viele Konten enthielten lächerlich einfache Passwörter wie  ‚Passwort‘ und ‚abcd1234‘.“

Der Marketingleiter von Suprema, Andy Ahn, sagte dem „Guardian“, das Unternehmen habe eine „eingehende Bewertung“ der von vpnMentor bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert werden. Die Firma vpnMentor erklärte, die Sicherheitslücke sei am Dienstag geschlossen worden, eine Woche, nachdem das Leck entdeckt wurde. dpa

Zum Weiterlesen:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

2 Kommentare
Atalanttore
Atalanttore

Biometrische Merkmale wie Fingerabdrücke kann man nach einem Datenleck auch nicht ändern.

Biometrische Merkmale von EU-Bürgern bei einer Firma außerhalb der EU und ohne DSGVO zu speichern ist schon gewaltig fahrlässig.

Antworten
R.
R.

Atalanttore…
Nicht nur Fahrlässigkeit ist hier im Spiel. Frage mich ernsthaft welche staatlichen Behörden hier eingreifen würden bzw. müssten.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung