Biometrische Daten von Millionen Nutzern offen im Web

Sicherheitsforscher aus Israel haben eine Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt. Diese konnte quasi ungeschützt und unverschlüsselt im Web abgerufen werden.
 
Die Daten stammen vom System "Biostar 2" der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist. Über die Entdeckung der israelischen Experten hatten zuerst der britische "Guardian" sowie das israelische Portal "Calacalist" berichtet.
 
"Biostar 2" arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Das System wird nach Angaben vom "Guardian" beispielsweise von der britischen Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt.
 
Die gravierende Sicherheitslücke wurde von den israelischen Hackern Noam Rotem und Ran Lokar entdeckt, die für den IT-Dienstleister vpnMentor arbeiten. Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal "Calcalist".
 
Laut dem 'Guardian' scannen Rotem und Locar regelmässig Ports im Internet und suchen nach bestimmten bekannten IP-Blöcken. Dann versuchen sie diese Blöcke zu benützen, um Löcher in den Systemen zu finden, die zu Datenlecks führen könnten.
 
Die so gefundene Datenbank von Biostar 2 sei weitgehend ungeschützt und unverschlüsselt gewesen, so die beiden Experten.
 
27,8 Millionen Datensätze
Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Ausserdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.
 
Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. "Anstatt einen Hash des Fingerabdrucks zu speichern, aus dem der ursprüngliche Fingerabdruck nicht mehr rekonstruierbar ist, speichern sie die tatsächlichen Fingerabdrücke der Menschen. Diese könnten für bösartige Zwecke einfach kopiert werden", sagten sie dem "Guardian".
 
Peinliche Passwörter der Kunden
Überrascht waren Rotem und Lokar auch darüber, wie schlecht die Suprema-Kunden, also die Anwenderunternehmen und -Behörden, zum Teil ihre Konten abgesichert haben: "Viele Konten enthielten lächerlich einfache Passwörter wie "Passwort" und" abcd1234."
 
Der Marketingleiter von Suprema, Andy Ahn, sagte dem "Guardian", das Unternehmen habe eine "eingehende Bewertung" der von vpnMentor bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert. Die Sicherheitslücke sei inzwischen geschlossen worden. (hjm/sda-Keystone)