piwik no script img

taz zahl ich

Koreanische Sicherheitsfirma mit LeckPasswort „abcd1234“

Biometrische Daten von Millionen Nutzern waren offen im Netz zugänglich. Israelische Sicherheitsforscher haben sie entdeckt.

Elektronisches Raster über einem Gesicht
Biometrie? Besser nie! Foto: ap

Tel Aviv/London dpa | Sicherheitsforscher aus Israel haben eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnte. Die Daten stammen vom System „Biostar 2“ der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist. Über das Sicherheitsleck hatten zuerst der britische Guardian sowie das israelische Portal Calacalist berichtet.

„Biostar 2“ arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Das System wird nach Angaben des Guardian auch von der britischen Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt.

Die gravierende Sicherheitslücke wurde von den israelischen Hackern Noam Rotem und Ran Lokar entdeckt, die für den Dienst vpnMentor arbeiten. Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal Calcalist.

Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23 Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und –freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.

Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. „Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können“, sagten die Forscher dem Guardian. Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: „Viele Konten enthielten lächerlich einfache Passwörter wie „Passwort“ und „abcd1234“.

Der Marketingleiter von Suprema, Andy Ahn, sagte dem Guardian, das Unternehmen habe eine „eingehende Bewertung“ der von vpnMentor bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert werde. Die Sicherheitslücke sei inzwischen geschlossen worden.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Biometrie #Datenschutz #Nutzerdaten
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Ein Fahrer mit einer Deliveroo-Auslieferungsbox, aufgenommen bei einer Kundgebung gegen schlechte Arbeitsbedingungen beim Essenslieferdienst Deliveroo.

Ende von Deliveroo

Lieferdienst weg, Lieferdaten nicht

Deliveroo macht in Deutschland dicht. Das heißt aber nicht, dass alle persönlichen Angaben zu den Kunden des Unternehmens gelöscht werden.
Von Svenja Bergt
Videoüberwachung am Südkreuz: An der S-Bahn werfen Passagiere lange Schatten

Video-Überwachung am Südkreuz

Im Schatten der Technik

Schon das Modellprojekt für Gesichtserkennung per Video scheiterte. Seit Juni laufen Tests für „Verhaltens- und Mustererkennung“ – mit mäßigem Erfolg.
Von Gareth Joswig
Eine Überwachungskamera in einem Lebensmittelladen an der Decke

Gesichtserkennung in England

Überall digitale Augen

Seit 2016 testet die Londoner Polizei automatische Gesichtserkennung. Gegen die staatliche Überwachung regt sich nun Widerstand.
Von Daniel Zylbersztajn

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

0 Kommentare

  • Noch keine Kommentare vorhanden.
    Starten Sie jetzt eine spannende Diskussion!

meistkommentiert

1

Putins Atomdrohungen

Angst auf allen Seiten

2

Nahost-Konflikt

Alternative Narrative

3

James Bridle bekommt Preis aberkannt

Boykottieren und boykottiert werden

4

Stromversorgung im Krieg

Ukraine will Atomkraft um das Dreifache ausbauen

5

+++ Nachrichten im Ukraine-Krieg +++

Biden genehmigt Lieferung von Antipersonenminen

6

Krise der Linke

Drei Silberlocken für ein Halleluja