BioStar 2: Biometrische Daten von Suprema geleaked

Sicherheitsforscher haben eine Datenbank mit Millionen biometrischer Daten des Anbieters Suprema gefunden, die öffentlich abrufbar war. Hier ein paar Informationen, die mir vom Entdecker, vpnmentor, per E-Mail zugegangen sind.


Anzeige

BioStar 2 ist eine webbasierte biometrische Sicherheits-Smart Lock-Plattform des B2B-Unternehmens Suprema, dem weltweit größten Bio-Access-Unternehmen. Die Datenbank von Suprema war öffentlich im Internet abrufbar, so dass Zugangsdaten, E-Mails und biometrischen Daten von Kunden durch Dritte einsehbar waren. Dieses Leck ermöglichte es jedem, der im Besitz dieser Daten war, tatsächlich auf die Kundenkonten zuzugreifen und die biometrischen Daten der Endbenutzer (Fingerabdrücke und Bilder) zu stehlen.

vpnmentor hat hier einen Blog-Beitrag über diesen Fall veröffentlicht. Das Team von vpnMentor, das von den Internet-Datenschutzforschern Noam Rotem und Ran Locar geleitet wurde, hat kürzlich ein großes Datenleck in der Sicherheitsplattform BioStar 2 entdeckt. 

Was ist BioStar 2

BioStar 2 ist eine webbasierte, biometrische Sicherheits-Smart Lock-Plattform. Als zentralisierte Anwendung ermöglicht sie es Administratoren, den Zugriff auf sichere Bereiche von Einrichtungen zu steuern, Benutzerrechte zu verwalten, in Sicherheitsanwendungen von Drittanbietern zu integrieren und Aktivitätsprotokolle aufzuzeichnen. Als Teil der biometrischen Software nutzt der BioStar 2 Gesichtserkennung und Fingerabdrucktechnologie, um Benutzer zu identifizieren.

Das Datenleck

Das Datenleck ist auf Grund der enthaltenen Daten sowie der Tatsache, dass die Datenbank einem Sicherheitsunternehmen gehörte, recht brisant. Die offen im Internet einsehbare Datenbank enthielt Millionen detaillierte personenbezogene Daten von Mitarbeitern sowie unverschlüsselte Benutzernamen und Passwörter, die Hackern Zugang zu Benutzerkonten und Berechtigungen in Einrichtungen, die BioStar 2 verwenden, ermöglicht hätten. Böswillige Akteure könnten damit in sichere Einrichtungen eindringen und ihre Sicherheitsprotokolle für kriminelle Aktivitäten manipulieren.

Dieses Datenleck gefährdet sowohl die beteiligten Unternehmen und Organisationen als auch deren Mitarbeiter. Das Sicherheitsteam von vpnmentor konnte auf über 1 Million Fingerabdrücke und Gesichtserkennungsinformationen zugreifen. In Kombination mit den persönlichen Daten, Benutzernamen und Passwörtern ist das Potenzial für kriminelle Aktivitäten und Betrug enorm. Vor allem: Einmal gestohlene Fingerabdrücke und Gesichtserkennungsinformationen können nicht mehr verwendete werden. Die betroffenen Individuen können für den Rest ihres Lebens diese Maßnahmen nicht mehr verwenden.

Das Datenleck wurde am 5. August 2019 gefunden und am 7. August 2019 an den Besitzer der Datenbank gemeldet. BioStar 2 reagierte im Allgemeinen sehr unkooperativ. Das Team unternahm zahlreiche Versuche, das Unternehmen per E-Mail zu kontaktieren, ohne Erfolg. Schließlich wurden die Büros von BioStar 2 telefonisch kontaktiert. Auch hier blieb eine Reaktion des Unternehmen weitgehend aus. Am 13. August wurde das Datenleck geschlossen.

(Quelle: YouTube)

Obiges Video enthält Informationen zum Datenleck. Weitere Details sind dem vpnmentor-Blog-Beitrag zu entnehmen.  Einige deutschsprachige Informationen finden sich hier.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu BioStar 2: Biometrische Daten von Suprema geleaked

  1. Andreas K. sagt:

    Scheinbar hat die Firma ihren Hauptsitz in Korea und diverse Niederlassungen weltweit. Die DSGVO dürfte hier, wie so oft, wieder mal nicht wirken.

Schreibe einen Kommentar zu Andreas K. Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.