Sicherheitsforscher aus Israel haben 27,8 Millionen Datensätze im Internet gefunden, die sehr sensible Daten enthalten. Die gefundenen Datensätze seien lt. Forscher meist unverschlüsselt zu finden und enthalten rund eine Million Fingerabdrücke und weitere biometrische Daten, welche unverschlüsselt im Web abgerufen werden konnten. Die Daten stammen hierbei vom System einer koreanischen Sicherheitsfirma, welche sich selbst als Marktführer in Europa bei biometrischen Zutrittskontrollsystemen positioniert. Das System des Anbieters arbeitet mit Fingerabdrücken und Gesichtsscans für intelligente Türschlösser, womit Firmen die Zugangskontrollen für Büros oder Lagerhallen kontrollieren können. Die Sicherheitslücke führt laut den Entdeckern dazu, dass man vollständige Kontrolle der Konten im System erlangen konnte. Zutritt zu den Daten erlangten die Forscher über einen einfachen Webbrowser Zugang.

Weitreichende Folgen des Sicherheitslecks

Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze. In den 23 Gigabyte Dateien fanden sich Fingerabdrücke, Gesichtsscans, Gesichtsfotos, Benutzernamen und Passwörter. Darüber hinaus fanden die Forscher Protokolle über den Zugang zu verschiedenen Einrichtungen, Sicherheitsstufen, Sicherheitsfreigaben und persönliche Daten des Personals. Dabei hatten die Forscher ebenso die Möglichkeit neue Daten anzulegen und vorhandene Daten zu manipulieren. Auch namhafte Unternehmen, sowie Behörden sollen das Türschloss-System der koreanischen Firma verwendet haben. Die Forscher waren ebenso überrascht darüber, wie einfach und unsicher zahlreiche Passwörter von Kunden der koreanischen Sicherheitsfirma konzipiert waren. Laut Aussage des Marketingleiters der Sicherheitsfirma wurde die Sicherheitslücke inzwischen geschlossen. Besonders kritisch zu sehen ist hierbei insbesondere die unverschlüsselte Abspeicherung dieser hochsensiblen Daten, sowie auf der anderen Seite die Auswahl der koreanischen Sicherheitsfirma als Dienstleister und Lieferant, ohne dass dieser auf Datenschutz- und Informationssicherheit geprüft wurde und dies in einem hochsensiblen Sicherheitsbereich. Besonders erwähnenswert ist auch, dass man geleakte Passwörter ändern kann, aber ein veröffentlichter Fingerabdruck selbstverständlich nicht änderbar ist. So bleibt nur zu hoffen, dass Fälle wie dieser zu einer Sensibilisierung für die Thematik führen.

Weiterführende Informationen zum Leak, den betroffenen Firmen sowie Ratschläge der Experten gibt es unter folgendem Link: https://de.vpnmentor.com/blog/report-biostar2-leak/

Autor: DB