Datenschutz

Sicherheitslücke: Biometrische Daten von Millionen Menschen offen im Netz

Ein Sicherheitsunternehmen, dessen Plattform auch von Polizei und Behörden benutzt wird, speicherte die biometrischen Daten von Millionen von Menschen unverschlüsselt. Sicherheitsforscher konnten auf Fingerabdrücke, Fotos und persönliche Passwörter zugreifen und die Daten sogar ersetzen.

Fingerabdruckscanner
Biometrische Identifizierung kann besonders einfach geknackt werden, wenn die biometrischen Vergleichsdaten offen einsehbar sind. (Symbolbild) CC-BY 2.0 Mike MacKenzie

Ein Untersuchungsteam von vpnMentor deckte eine Sicherheitslücke bei der südkoreanischen Firma Suprema auf. Deren Biostar2-Plattform ermöglicht es Unternehmen, mit Hilfe von Gesichtserkennung und Fingerabdrücken Menschen zu identifizieren und Zugangsbefugnisse zu sicheren Bereichen in Gebäuden zu vergeben. Laut dem Guardian wird das System auch von der britischen Polizei, Banken und Sicherheitsfirmen genutzt.

Das Team unter der Leitung der zwei israelischen Sicherheitsforschern Noam Rotem und Ran Locar konnte bei seinen Untersuchungen auf 23 Gigabyte sehr sensibler Daten zugreifen. Zu den mehr als 27 Millionen Datensätzen gehören biometrische Daten von Angestellten, aber auch deren Sicherheitsstufen und -freigaben und unverschlüsselte Benutzernamen und Passwörter. Abgesehen von der fehlenden Verschlüsselung kritisierten die Forscher die Einfachheit der Passwörter: Teilweise wurden Passwörter wie „Password“ oder „abcd1234“ entdeckt. Gesichtserkennungsinformationen und Fingerabdrücke waren zudem unverschlüsselt gespeichert. Die Sicherheitslücke hätte genutzt werden können, um die Sicherheitssysteme der betroffenen Einrichtungen zu kontrollieren, neue Datensätze anzulegen und sich Zugang zu den betroffenen Einrichtungen zu verschaffen.

Unverschlüsselte biometrische Daten im Netz

Mit gestohlenen Fingerabdrücken und Fotos können Kriminelle außerdem Identitätsdiebstahl und andere schwerwiegende Straftaten begehen. Was auch das Team als besonders schwerwiegend einschätzt, drückt der österreichische Hacker Stefan Daschek auf Twitter passend aus:

Passwörter unverschlüsselt speichern ist verantwortungslos. FINGERABDRÜCKE unverschlüsselt speichern ist … da gibts kein Wort für. (Im Gegensatz zu Passwörtern kann man die nämlich, wenn sie mal geleaked sind, nicht ändern.)

Nach dem Fund der Daten informierten die Forscher Suprema über die Sicherheitslücke. Dort zeigte man sich nach Angaben der Forscher sehr unkooperativ, reagierte nicht auf Mails, legte bei einem Anruf einfach auf. Am 13. August, also kurz vor der Veröffentlichung, wurde die Sicherheitslücke durch das Unterenhmen aber geschlossen.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.