piwik no script img

taz zahl ich

Koreanische Sicherheitsfirma mit LeckPasswort „abcd1234“

Biometrische Daten von Millionen Nutzern waren offen im Netz zugänglich. Israelische Sicherheitsforscher haben sie entdeckt.

Elektronisches Raster über einem Gesicht
Biometrie? Besser nie! Foto: ap

Tel Aviv/London dpa | Sicherheitsforscher aus Israel haben eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnte. Die Daten stammen vom System „Biostar 2“ der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist. Über das Sicherheitsleck hatten zuerst der britische Guardian sowie das israelische Portal Calacalist berichtet.

„Biostar 2“ arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Das System wird nach Angaben des Guardian auch von der britischen Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt.

Die gravierende Sicherheitslücke wurde von den israelischen Hackern Noam Rotem und Ran Lokar entdeckt, die für den Dienst vpnMentor arbeiten. Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal Calcalist.

Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23 Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und –freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.

Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. „Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können“, sagten die Forscher dem Guardian. Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: „Viele Konten enthielten lächerlich einfache Passwörter wie „Passwort“ und „abcd1234“.

Der Marketingleiter von Suprema, Andy Ahn, sagte dem Guardian, das Unternehmen habe eine „eingehende Bewertung“ der von vpnMentor bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert werde. Die Sicherheitslücke sei inzwischen geschlossen worden.

Eine Koalition, die was bewegt: taz.de und ihre Leser:innen

Unsere Community ermöglicht den freien Zugang für alle. Dies unterscheidet uns von anderen Nachrichtenseiten. Wir begreifen Journalismus nicht nur als Produkt, sondern auch als öffentliches Gut. Unsere Artikel sollen möglichst vielen Menschen zugutekommen. Mit unserer Berichterstattung versuchen wir das zu tun, was wir können: guten, engagierten Journalismus. Alle Schwerpunkte, Berichte und Hintergründe stellen wir dabei frei zur Verfügung, ohne Paywall. Gerade jetzt müssen Einordnungen und Informationen allen zugänglich sein. Was uns noch unterscheidet: Unsere Leser:innen. Sie müssen nichts bezahlen, wissen aber, dass guter Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 50.000 – und mit Ihrer Beteiligung können wir es schaffen. Es wäre ein schönes Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Biometrie #Datenschutz #Nutzerdaten
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Ein Fahrer mit einer Deliveroo-Auslieferungsbox, aufgenommen bei einer Kundgebung gegen schlechte Arbeitsbedingungen beim Essenslieferdienst Deliveroo.

Ende von Deliveroo

Lieferdienst weg, Lieferdaten nicht

Deliveroo macht in Deutschland dicht. Das heißt aber nicht, dass alle persönlichen Angaben zu den Kunden des Unternehmens gelöscht werden.
Von Svenja Bergt
Videoüberwachung am Südkreuz: An der S-Bahn werfen Passagiere lange Schatten

Video-Überwachung am Südkreuz

Im Schatten der Technik

Schon das Modellprojekt für Gesichtserkennung per Video scheiterte. Seit Juni laufen Tests für „Verhaltens- und Mustererkennung“ – mit mäßigem Erfolg.
Von Gareth Joswig
Eine Überwachungskamera in einem Lebensmittelladen an der Decke

Gesichtserkennung in England

Überall digitale Augen

Seit 2016 testet die Londoner Polizei automatische Gesichtserkennung. Gegen die staatliche Überwachung regt sich nun Widerstand.
Von Daniel Zylbersztajn

You'll never fight alone: FLINTA* UNITED!

Das Frauentags-Abo

10-wöchiges Mini-Abo + exklusiver FLINTA*UNITED-Schal
Auswählen

0 Kommentare

  • Noch keine Kommentare vorhanden.
    Starten Sie jetzt eine spannende Diskussion!

meistkommentiert

1

Alles zur Bundestagswahl

Lindner und die FDP verabschieden sich aus der Politik

2

Wahlsieg der Union

Kann Merz auch Antifa?

3

Der Jahrestag der Ukraine-Invasion

Warum Russland verlieren wird

4

FDP bei der Bundestagswahl

Lindner kündigt Rückzug an

5

Wahlergebnis der AfD

Höchstes Ergebnis für extrem Rechte seit 1945

6

Wahlniederlage von Olaf Scholz

Kein sozialdemokratisches Wunder