Image
Digitale Türschlösser unsicher : Hacker
entdecken Mega-Datenleck im Web
StartseiteTechnikDigitale Türschlösser
unsicher : Hacker entdecken Mega-Datenleck im Web
Technik
Mittwoch, 14. August 2019
Digitale Türschlösser unsicherHacker entdecken
Mega-Datenleck im Web
Ein israelisches Hacker-Duo hat offenbar
biometrische Daten von Millionen Nutzern offen im Netz entdeckt.
Ein Fingerabdruck und schon öffnet sich die
Tür zum Büro: Neben Firmen nutzen auch die britische Polizei und Banken
"Biostar 2" als digitales Schloss. Doch zwei Hacker entdecken bei dem
biometrischen Zutrittskontrollsystem jetzt eine gravierende
Sicherheitslücke - auch wegen "lächerlich einfacher Passwörter".
Sicherheitsforscher aus
Israel haben eine riesige Datenbank mit rund einer Million
Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi
ungeschützt und unverschlüsselt im Web abgerufen werden konnte. Die
Daten stammen Berichten des britischen "Guardians" sowie des
israelischen Portals "Calacalist" zufolge vom System "Biostar 2" der
koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben
Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist.
"Biostar 2" arbeitet mit Fingerabdrücken oder
Gesichtsscans auf einer webbasierten Plattform für intelligente
Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros
oder Lagerhallen selbst organisieren können. Das System wird nach
Angaben des "Guardians" auch von der britischen Polizei sowie mehreren
Verteidigungsunternehmen und Banken genutzt.
Die gravierende Sicherheitslücke wurde von den
israelischen Hackern Noam Rotem und Ran Lokar entdeckt, die für den
Dienst vpnMentor arbeiten. Die Schwachstelle habe dazu geführt, dass man
die vollständige Kontrolle über die Konten im System erhalten konnte,
sagte Rotem dem Portal "Calcalist".
Leichtfertige Absicherung mit "abcd1234"
Den Berichten zufolge hatten die Forscher
Zugriff auf mehr als 27,8 Millionen Datensätze und 23 Gigabyte Daten,
darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von
Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle
über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe
sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in
den Firmenkonten neu anlegen und manipulieren können.
Entsetzt zeigten sich die Forscher darüber, dass in dem System die
vollständigen biometrischen Daten meist unverschlüsselt abgespeichert
wurden. "Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht
rückentwickelt werden kann, speichern sie die tatsächlichen
Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden
können", sagten die Forscher dem "Guardian". Überrascht waren Rotem und
Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten
abgesichert haben: "Viele Konten enthielten lächerlich einfache
Passwörter wie "Passwort" und "abcd1234".
Der Marketingleiter von Suprema, Andy Ahn,
sagte, das Unternehmen habe eine "eingehende Bewertung" der von
vpnMentor bereitgestellten Informationen vorgenommen. Die Kunden würden
im Falle einer Bedrohung informiert. Die Sicherheitslücke sei inzwischen
geschlossen worden.
Quelle: n-tv.de, cri/dpa
https://www.n-tv.de/technik/Hacker-entdecken-Mega-Datenleck-im-Web-article21206110htmll