Gigantisches Biometrisches Sicherheitsleck: Millionen Fingerabdrücke unverschlüsselt im Netz

Fingerabdrücke und andere biometrische Merkmale sind als Zugangsdaten besonders sensibel, weil man sie bei einem Dateneinbruch im Gegensatz zu einem Passwort nicht einfach ändern kann. Nun ist ein gigantisches Datenleck bei einer Biometrie-Firma entdeckt worden.

Fast 30 Millionen Datensätze und Passwörter

Die Forscher hatten Zugriff auf über 27,8 Millionen Datensätze und 23 Gigabyte Daten, darunter Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.

Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. »Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können«, sagten die Forscher dem »Guardian«. Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: »Viele Konten enthielten lächerlich einfache Passwörter wie "Passwort" und "abcd1234".«

Der Marketingleiter von Suprema, Andy Ahn, sagte dem «Guardian«, das Unternehmen habe eine »eingehende Bewertung« der von Npnmentor bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert werden. Die Sicherheitslücke sei inzwischen geschlossen worden.

Übersicht