Datenleck

Datenleck: Mehr als eine Million Fingerabdrücke offen im Netz

Eine korea­nische Sicher­heits­firma stellte hoch­sensible biome­trische Daten unver­schlüs­selt ins Internet. Auch deut­sche Kunden sind betroffen.
Von dpa / Wolfgang Korne

In Korea gelangten mehr als eine Million Fingerabdrücke offen ins Netz. In Korea gelangten mehr als eine Million Fingerabdrücke offen ins Netz.
Bild: dpa
Eine riesige Daten­bank mit hoch­sensi­blen Daten, darunter rund eine Million Finger­abdrücke, hat einen längeren Zeit­raum unge­schützt und unver­schlüs­selt im Netz gestanden. Wie die israe­lischen Sicher­heits­forscher Noam Rotem und Ran Lokar vom VPN-Vergleichs­portals vpnMentor heute berich­teten, stammen die Daten von der Platt­form "Biostar 2" der korea­nischen Sicher­heits­firma Suprema, die nach eigenen Angaben in Europa Markt­führer bei biome­trischen Zutritts­kontroll­systemen ist. Über das Sicher­heits­leck hatten zuerst der briti­sche "Guar­dian" sowie das israe­lische Portal "Cala­calist" berichtet.

Auch deut­sche Kunden betroffen

In Korea gelangten mehr als eine Million Fingerabdrücke offen ins Netz. In Korea gelangten mehr als eine Million Fingerabdrücke offen ins Netz.
Bild: dpa
"Biostar 2" arbeitet mit Finger­abdrü­cken oder Gesichts­scans auf einer webba­sierten Platt­form für intel­ligente Türschlösser, mit der Unter­nehmen die Zugangs­kontrolle für ihre Büros oder Lager­hallen selbst orga­nisieren können. Das System wird nach Angaben vom "Guar­dian" auch von der briti­schen Polizei sowie mehreren Unter­nehmen aus der Rüstungs­indus­trie sowie Banken genutzt.

Unter den Kunden aus Deutsch­land hatten die Forscher Zugriff auf Daten der Firma Ident­base. Das Unter­nehmen befasst sich mit Tech­nologie zum Drucken von ID- und Zugangs­karten.

Mani­pula­tionen standen Tür und Tor offen

"Das Leck ist riesig", erklärten die beiden Sicher­heits­forscher. "Es gefährdet nicht nur betrof­fene Geschäfte und Orga­nisa­tionen, sondern auch die Ange­stellten." Die Schwach­stelle habe dazu geführt, dass man die voll­stän­dige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal "Calca­list".

Die Forscher hatten Zugriff auf über 27,8 Millionen Daten­sätze und 23 Giga­byte Daten, darunter Finger­abdruck- und Gesichts­erken­nungs­daten, Gesichts­fotos von Benut­zern, unver­schlüs­selte Benut­zernamen und Pass­wörter, Proto­kolle über den Zugang zu den Einrich­tungen, Sicher­heits­stufen und -frei­gabe sowie persön­liche Daten des Perso­nals. Außerdem hätten sie Daten­sätze in den Firmen­konten neu anlegen und mani­pulieren können. "Böswil­lige Agenten könnten das Leck nutzen, um sichere Einrich­tungen zu hacken und die Sicher­heits­proto­kolle für krimi­nelle Akti­vitäten zu mani­pulieren."

Daten unver­schlüs­selt gespei­chert

Entsetzt zeigten sich die Forscher darüber, dass in dem System die voll­stän­digen biome­trischen Daten meist unver­schlüs­selt abge­spei­chert wurden. "Anstatt einen Hash des Finger­abdrucks zu spei­chern, der nicht rück­entwi­ckelt werden kann, spei­chern sie die tatsäch­lichen Finger­abdrücke der Menschen, die für bösar­tige Zwecke kopiert werden können", sagten die Forscher dem "Guar­dian". Über­rascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abge­sichert haben: "Viele Konten enthielten lächer­lich einfache Pass­wörter wie" Pass­wort "und" abcd1234."

Der Marke­ting­leiter von Suprema, Andy Ahn, sagte dem "Guar­dian", das Unter­nehmen habe eine "einge­hende Bewer­tung" der von vpnMentor bereit­gestellten Infor­mationen vorge­nommen. Die Kunden würden im Falle einer Bedro­hung infor­miert werden. Die Firma vpnMentor erklärte, die Sicher­heits­lücke sei am Dienstag geschlossen worden, eine Woche, nachdem das Leck entdeckt wurde.

Daten­lecks treten immer wieder auf, doch die betei­ligten Unter­nehmen kommen mit ihrem Schlen­drian oft ziem­lich glimpf­lich davon. Eines der bekann­testen Beispiele in letzter Zeit war der Skandal um Cambridge Analy­tica. Hier musste Face­book in Groß­britan­nien die vergleichs­weise lächer­liche Summe von 500.000 Pfund zahlen zahlen. Wir berich­teten.

Mehr zum Thema Skandal