Sicherheitsforscher aus Israel haben eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnten. Die Daten stammen vom System Biostar 2 der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist.

Biostar 2 arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Wie der Guardian berichtet, wird das System auch von der britischen Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt.

Entdeckt wurde die Sicherheitslücke von den israelischen Hackern Noam Rotem und Ran Lokar, die für den Dienst vpnMentor arbeiten. Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal Calcalist

Hacker entsetzt über Sicherheitsstandards

Die beiden Hacker hatten Zugriff auf 27,8 Millionen Datensätze und 23 Gigabyte Daten. Darunter waren Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.

Entsetzt zeigten sich die Hacker darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. "Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können", sagten die Hacker dem Guardian. Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: "Viele Konten enthielten lächerlich einfache Passwörter wie "Passwort" und "abcd1234". 

Nach Angaben des Marketingleiters von Suprema, Andy Ahn, wurde die Sicherheitslücke inzwischen geschlossen. Dem Guardian sagte er, das Unternehmen habe eine "eingehende Bewertung" der von vpnMentor bereitgestellten Informationen vorgenommen. Man würde die Kunden im Falle einer Bedrohung informieren.