 |
# taz.de -- Koreanische Sicherheitsfirma mit Leck: Passwort „abcd1234“ |
|
|
|
> Biometrische Daten von Millionen Nutzern waren offen im Netz zugänglich. |
|
> Israelische Sicherheitsforscher haben sie entdeckt. |
|
|
 |
Bild: Biometrie? Besser nie! |
|
|
|
Tel Aviv/London dpa | Sicherheitsforscher aus Israel haben eine riesige |
|
Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen |
|
Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web |
|
abgerufen werden konnte. Die Daten stammen vom System „Biostar 2“ der |
|
koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer |
|
in Europa bei biometrischen Zutrittskontrollsystemen ist. Über das |
|
Sicherheitsleck hatten [1][zuerst der britische Guardian ] sowie [2][das |
|
israelische Portal Calacalist] berichtet. |
|
|
|
„Biostar 2“ arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer |
|
webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen |
|
die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren |
|
können. Das System wird nach Angaben des Guardian auch von der britischen |
|
Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt. |
|
|
|
Die gravierende Sicherheitslücke wurde von den israelischen Hackern Noam |
|
Rotem und Ran Lokar entdeckt, die für den Dienst vpnMentor arbeiten. Die |
|
Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über |
|
die Konten im System erhalten konnte, sagte Rotem dem Portal Calcalist. |
|
|
|
Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23 |
|
Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, |
|
Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, |
|
Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und |
|
–freigabe sowie persönliche Daten des Personals. Außerdem hätten sie |
|
Datensätze in den Firmenkonten neu anlegen und manipulieren können. |
|
|
|
Entsetzt zeigten sich die Forscher darüber, dass in dem System die |
|
vollständigen biometrischen Daten meist unverschlüsselt abgespeichert |
|
wurden. „Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht |
|
rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke |
|
der Menschen, die für bösartige Zwecke kopiert werden können“, sagten die |
|
Forscher dem Guardian. Überrascht waren Rotem und Lokar darüber, wie |
|
schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: „Viele |
|
Konten enthielten lächerlich einfache Passwörter wie „Passwort“ und |
|
„abcd1234“. |
|
|
|
Der Marketingleiter von Suprema, Andy Ahn, sagte dem Guardian, das |
|
Unternehmen habe eine „eingehende Bewertung“ der von vpnMentor |
|
bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle |
|
einer Bedrohung informiert werde. Die Sicherheitslücke sei inzwischen |
|
geschlossen worden. |
|
|
|
14 Aug 2019 |
|
|
|
## LINKS |
|
|
 |
[1] https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-bi… |
|
[2] https://www.calcalist.co.il/internet/articles/0,7340,L-3768250,00.html |
|
|
|
## TAGS |
|
|
|
Biometrie |
|
Datenschutz |
|
Nutzerdaten |
|
Deliveroo |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
Indien |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Ende von Deliveroo: Lieferdienst weg, Lieferdaten nicht |
|
|
|
Deliveroo macht in Deutschland dicht. Das heißt aber nicht, dass alle |
|
persönlichen Angaben zu den Kunden des Unternehmens gelöscht werden. |
|
|
|
Video-Überwachung am Südkreuz: Im Schatten der Technik |
|
|
|
Schon das Modellprojekt für Gesichtserkennung per Video scheiterte. Seit |
|
Juni laufen Tests für „Verhaltens- und Mustererkennung“ – mit mäßigem |
|
Erfolg. |
|
|
|
Gesichtserkennung in England: Überall digitale Augen |
|
|
|
Seit 2016 testet die Londoner Polizei automatische Gesichtserkennung. Gegen |
|
die staatliche Überwachung regt sich nun Widerstand. |
|
|
|
Niederlage für Datenschutz: Gericht erlaubt Mega-Datenbank |
|
|
|
In einer Datenbank sind fast alle Inder per Iris-Scan erfasst. Diese |
|
weltgrößte biometrische Datenbank hat ein Gericht nun für |
|
verfassungskonform erklärt. |
