# taz.de -- Koreanische Sicherheitsfirma mit Leck: Passwort „abcd1234“
> Biometrische Daten von Millionen Nutzern waren offen im Netz zugänglich.
> Israelische Sicherheitsforscher haben sie entdeckt.
IMG Bild: Biometrie? Besser nie!
Tel Aviv/London dpa | Sicherheitsforscher aus Israel haben eine riesige
Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen
Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web
abgerufen werden konnte. Die Daten stammen vom System „Biostar 2“ der
koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer
in Europa bei biometrischen Zutrittskontrollsystemen ist. Über das
Sicherheitsleck hatten [1][zuerst der britische Guardian ] sowie [2][das
israelische Portal Calacalist] berichtet.
„Biostar 2“ arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer
webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen
die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren
können. Das System wird nach Angaben des Guardian auch von der britischen
Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt.
Die gravierende Sicherheitslücke wurde von den israelischen Hackern Noam
Rotem und Ran Lokar entdeckt, die für den Dienst vpnMentor arbeiten. Die
Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über
die Konten im System erhalten konnte, sagte Rotem dem Portal Calcalist.
Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23
Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten,
Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter,
Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und
–freigabe sowie persönliche Daten des Personals. Außerdem hätten sie
Datensätze in den Firmenkonten neu anlegen und manipulieren können.
Entsetzt zeigten sich die Forscher darüber, dass in dem System die
vollständigen biometrischen Daten meist unverschlüsselt abgespeichert
wurden. „Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht
rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke
der Menschen, die für bösartige Zwecke kopiert werden können“, sagten die
Forscher dem Guardian. Überrascht waren Rotem und Lokar darüber, wie
schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: „Viele
Konten enthielten lächerlich einfache Passwörter wie „Passwort“ und
„abcd1234“.
Der Marketingleiter von Suprema, Andy Ahn, sagte dem Guardian, das
Unternehmen habe eine „eingehende Bewertung“ der von vpnMentor
bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle
einer Bedrohung informiert werde. Die Sicherheitslücke sei inzwischen
geschlossen worden.
14 Aug 2019
## LINKS
DIR [1] https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms?CMP=Share_iOSApp_Other
DIR [2] https://www.calcalist.co.il/internet/articles/0,7340,L-3768250,00.html
## TAGS
DIR Biometrie
DIR Datenschutz
DIR Nutzerdaten
DIR Deliveroo
DIR Schwerpunkt Überwachung
DIR Schwerpunkt Überwachung
DIR Indien
## ARTIKEL ZUM THEMA
DIR Ende von Deliveroo: Lieferdienst weg, Lieferdaten nicht
Deliveroo macht in Deutschland dicht. Das heißt aber nicht, dass alle
persönlichen Angaben zu den Kunden des Unternehmens gelöscht werden.
DIR Video-Überwachung am Südkreuz: Im Schatten der Technik
Schon das Modellprojekt für Gesichtserkennung per Video scheiterte. Seit
Juni laufen Tests für „Verhaltens- und Mustererkennung“ – mit mäßigem
Erfolg.
DIR Gesichtserkennung in England: Überall digitale Augen
Seit 2016 testet die Londoner Polizei automatische Gesichtserkennung. Gegen
die staatliche Überwachung regt sich nun Widerstand.
DIR Niederlage für Datenschutz: Gericht erlaubt Mega-Datenbank
In einer Datenbank sind fast alle Inder per Iris-Scan erfasst. Diese
weltgrößte biometrische Datenbank hat ein Gericht nun für
verfassungskonform erklärt.