Eine riesige Datenbank mit hochsensiblen Daten, darunter rund eine Million Fingerabdrücke, war über einen längeren Zeitraum ungeschützt und unverschlüsselt im Netz zugänglich. Wie die israelischen Sicherheitsforscher Noam Rotem und Ran Lokar heute berichteten, stammen die Daten von der Plattform „Biostar 2“ der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben in Europa Marktführer bei biometrischen Zutrittskontrollsystemen ist.
Über das Sicherheitsleck hatten zuerst der britische „Guardian“ sowie das israelische Portal Calacalist berichtet. „Biostar 2“ arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Das System wird nach Angaben des „Guardian“ auch von der britischen Polizei sowie mehreren Unternehmen aus der Rüstungsindustrie sowie Banken genutzt.
„Das Leck ist riesig“, erklärten die beiden Sicherheitsforscher. „Es gefährdet nicht nur betroffene Geschäfte und Organisationen, sondern auch die Angestellten.“ Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal Calcalist.
Fast 28 Millionen Datensätze
Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23 Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können. „Böswillige Agenten könnten das Leck nutzen, um sichere Einrichtungen zu hacken und die Sicherheitsprotokolle für kriminelle Aktivitäten zu manipulieren.“
Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden.
Der Marketingleiter von Suprema, Andy Ahn, sagte dem „Guardian“, das Unternehmen habe eine „eingehende Bewertung“ der bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert werde. Die Entdecker erklärten, die Sicherheitslücke sei eine Woche, nachdem das Leck entdeckt wurde, geschlossen worden.