# taz.de -- Koreanische Sicherheitsfirma mit Leck: Passwort „abcd1234“ | |
> Biometrische Daten von Millionen Nutzern waren offen im Netz zugänglich. | |
> Israelische Sicherheitsforscher haben sie entdeckt. | |
Bild: Biometrie? Besser nie! | |
TEL AVIV/LONDON dpa | Sicherheitsforscher aus Israel haben eine riesige | |
Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen | |
Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web | |
abgerufen werden konnte. Die Daten stammen vom System „Biostar 2“ der | |
koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer | |
in Europa bei biometrischen Zutrittskontrollsystemen ist. Über das | |
Sicherheitsleck hatten [1][zuerst der britische Guardian ] sowie [2][das | |
israelische Portal Calacalist] berichtet. | |
„Biostar 2“ arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer | |
webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen | |
die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren | |
können. Das System wird nach Angaben des Guardian auch von der britischen | |
Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt. | |
Die gravierende Sicherheitslücke wurde von den israelischen Hackern Noam | |
Rotem und Ran Lokar entdeckt, die für den Dienst vpnMentor arbeiten. Die | |
Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über | |
die Konten im System erhalten konnte, sagte Rotem dem Portal Calcalist. | |
Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23 | |
Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, | |
Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, | |
Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und | |
–freigabe sowie persönliche Daten des Personals. Außerdem hätten sie | |
Datensätze in den Firmenkonten neu anlegen und manipulieren können. | |
Entsetzt zeigten sich die Forscher darüber, dass in dem System die | |
vollständigen biometrischen Daten meist unverschlüsselt abgespeichert | |
wurden. „Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht | |
rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke | |
der Menschen, die für bösartige Zwecke kopiert werden können“, sagten die | |
Forscher dem Guardian. Überrascht waren Rotem und Lokar darüber, wie | |
schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: „Viele | |
Konten enthielten lächerlich einfache Passwörter wie „Passwort“ und | |
„abcd1234“. | |
Der Marketingleiter von Suprema, Andy Ahn, sagte dem Guardian, das | |
Unternehmen habe eine „eingehende Bewertung“ der von vpnMentor | |
bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle | |
einer Bedrohung informiert werde. Die Sicherheitslücke sei inzwischen | |
geschlossen worden. | |
14 Aug 2019 | |
## LINKS | |
[1] https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-bi… | |
[2] https://www.calcalist.co.il/internet/articles/0,7340,L-3768250,00.html | |
## TAGS | |
Biometrie | |
Datenschutz | |
Nutzerdaten | |
Deliveroo | |
Schwerpunkt Überwachung | |
Schwerpunkt Überwachung | |
Indien | |
## ARTIKEL ZUM THEMA | |
Ende von Deliveroo: Lieferdienst weg, Lieferdaten nicht | |
Deliveroo macht in Deutschland dicht. Das heißt aber nicht, dass alle | |
persönlichen Angaben zu den Kunden des Unternehmens gelöscht werden. | |
Video-Überwachung am Südkreuz: Im Schatten der Technik | |
Schon das Modellprojekt für Gesichtserkennung per Video scheiterte. Seit | |
Juni laufen Tests für „Verhaltens- und Mustererkennung“ – mit mäßigem | |
Erfolg. | |
Gesichtserkennung in England: Überall digitale Augen | |
Seit 2016 testet die Londoner Polizei automatische Gesichtserkennung. Gegen | |
die staatliche Überwachung regt sich nun Widerstand. | |
Niederlage für Datenschutz: Gericht erlaubt Mega-Datenbank | |
In einer Datenbank sind fast alle Inder per Iris-Scan erfasst. Diese | |
weltgrößte biometrische Datenbank hat ein Gericht nun für | |
verfassungskonform erklärt. |