Biometrische Daten

Datenbank mit Fingerabdrücken von Millionen Nutzern war offen im Netz

Israelische Sicherheitsforscher haben ein Datenleck einer koreanischen Sicherheitsfirma im Internet entdeckt. Offen zugänglich seien über 27 Millionen Datensätze mit Fingerabdrücken und Gesichtsscans.

Fingerabdruck© VRD / Fotolia.com

Tel Aviv/London - Sicherheitsforscher aus Israel haben eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnte. Die Daten stammen vom System "Biostar 2" der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist. Über das Sicherheitsleck hatten zuerst der britische "Guardian" sowie das israelische Portal "Calcalist " berichtet.

Fingerabdrücke und Gesichtsscans auf einer webbasierten Plattform

"Biostar 2" arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Das System wird nach Angaben vom "Guardian" auch von der britischen Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt. Unter den Kunden aus Deutschland hatten die Forscher Zugriff auf Daten der Firma Identbase. Das Unternehmen befasst sich mit Technologie zum Drucken von ID- und Zugangskarten.

Die gravierende Sicherheitslücke wurde von den israelischen Hackern Noam Rotem und Ran Lokar entdeckt, die für den Dienst vpnMentor arbeiten. Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal "Calcalist ".

Zugriff auf umfangreiche Datensätze

"Das Leck ist riesig", erklärten die beiden Sicherheitsforscher. "Es gefährdet nicht nur betroffene Geschäfte und Organisationen, sondern auch die Angestellten."

Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23 Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.

Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. "Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können", sagten die Forscher dem "Guardian". Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: "Viele Konten enthielten lächerlich einfache Passwörter wie" Passwort "und" abcd1234."

Der Marketingleiter von Suprema, Andy Ahn, sagte dem "Guardian", das Unternehmen habe eine "eingehende Bewertung" der von vpnMentor bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert werde. Die Firma vpnMentor erklärte, die Sicherheitslücke sei am Dienstag geschlossen worden, eine Woche, nachdem das Leck entdeckt wurde.

Jörg Schamberg / Quelle: DPA

Lesen Sie alles Wichtige von onlinekosten.de - auf Wunsch per Notify direkt auf dem Handy. Newsletter per Notify Newsletter per Mail
Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang
NewsletterPopup