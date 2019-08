Panagiotis Kolokythas

Durch ein Leck sind über eine Million Fingerabdrücke von Nutzern geleakt. Aber nicht nur diese Daten...

Vergrößern Über 1 Million Fingerabdruck-Daten lagen offen im Web herum © Apple

Durch ein Datenleck im biometrischen Sicherheitsdienst Biostar 2 des Unternehmens Suprema sind über 1 Million Fingerabdrücke von Nutzern geleakt worden. Entdeckt wurde das Problem von Vpnmentor, die am Mittwoch nun mit einem Blog-Eintrag den Fall publik machen.

Konkret wurde die Schwachstelle am 5. August 2019 bei einem Routine-Netzwerk-Check entdeckt und dann am 7. August das betreffende Sicherheitsunternehmen kontaktiert. Die Lücke wurde dann am gestrigen Dienstag (13. August) geschlossen, wodurch nun auch die Öffentlichkeit informiert werden kann. Die Lücke hatte dafür gesorgt, dass die gesamte Biostar-2-Datenbank öffentlich zugänglich war. Eine tiefergehende Analyse ergab, dass sich über die Lücke auch die über 23 Gigabyte große Datenbank mit über 28 Millionen Einträgen herunterladen ließ.



Das biometrische Sicherheitssystem Biostar 2 wird unter anderem von vielen Banken, anderen Sicherheitsunternehmen und auch der britischen Polizei genutzt. Die geleakten Daten enthalten nicht nur die Fingerabdrücke von über 1 Million Nutzern, sondern unter anderem deren persönliche Daten, Gesichtserkennungsmerkmale, unverschlüsselte Passwörter und Daten über Sicherheitsfreigaben und wann und wo welche Sicherheitsbereiche betreten und wieder verlassen wurden.



Suprema selbst reagierte nicht direkt auf die Meldungen der Entdecker. Laut britischen Medienberichten erklärte das Unternehmen lediglich, dass die Lücke geschlossen und eine tiefergehende Überprüfung stattfinden solle. Die Kunden sollen dann informiert werden, falls für sie irgendwelche Gefahren bestehen.

Die Entdecker der Lücke warnen dagegen, dass die Daten für eine große Anzahl an kriminellen Aktivitäten ausgenutzt werden könnten, die für betroffene Nutzer oder Unternehmen verheerende Folgen haben könnten. Erschrocken zeigen sich die Sicherheitsexperten, wie oft die Nutzer simple Passwörter wie "Password" und "abcd1234" nutzen.

"Die Plattform hat über 1,5 Millionen weltweite Installationen und alle diese könnten über diesen Leak angegriffen werden", so die Warnung. Regierungen würden sie ebenso einsetzen wie Polizeibehörden, Banken, Universitäten, multinationale Unternehmen und Waffenhersteller. Im Gegensatz zu Passwörtern, die man leicht ändern könne, um einen unbefugten Zugriff zu erhalten, ließen sich erbeutete Fingerabdrücke und Gesichtserkennungsmerkmale immer wieder von Angreifern ausnutzen.