Sicherheitsforscher haben eine Datenbank mit Millionen biometrischer Daten des Anbieters Suprema gefunden, die öffentlich abrufbar war. Hier ein paar Informationen, die mir vom Entdecker, vpnmentor, per E-Mail zugegangen sind.
Anzeige
BioStar 2 ist eine webbasierte biometrische Sicherheits-Smart Lock-Plattform des B2B-Unternehmens Suprema, dem weltweit größten Bio-Access-Unternehmen. Die Datenbank von Suprema war öffentlich im Internet abrufbar, so dass Zugangsdaten, E-Mails und biometrischen Daten von Kunden durch Dritte einsehbar waren. Dieses Leck ermöglichte es jedem, der im Besitz dieser Daten war, tatsächlich auf die Kundenkonten zuzugreifen und die biometrischen Daten der Endbenutzer (Fingerabdrücke und Bilder) zu stehlen.
vpnmentor hat hier einen Blog-Beitrag über diesen Fall veröffentlicht. Das Team von vpnMentor, das von den Internet-Datenschutzforschern Noam Rotem und Ran Locar geleitet wurde, hat kürzlich ein großes Datenleck in der Sicherheitsplattform BioStar 2 entdeckt.
Was ist BioStar 2
BioStar 2 ist eine webbasierte, biometrische Sicherheits-Smart Lock-Plattform. Als zentralisierte Anwendung ermöglicht sie es Administratoren, den Zugriff auf sichere Bereiche von Einrichtungen zu steuern, Benutzerrechte zu verwalten, in Sicherheitsanwendungen von Drittanbietern zu integrieren und Aktivitätsprotokolle aufzuzeichnen. Als Teil der biometrischen Software nutzt der BioStar 2 Gesichtserkennung und Fingerabdrucktechnologie, um Benutzer zu identifizieren.
Das Datenleck
Das Datenleck ist auf Grund der enthaltenen Daten sowie der Tatsache, dass die Datenbank einem Sicherheitsunternehmen gehörte, recht brisant. Die offen im Internet einsehbare Datenbank enthielt Millionen detaillierte personenbezogene Daten von Mitarbeitern sowie unverschlüsselte Benutzernamen und Passwörter, die Hackern Zugang zu Benutzerkonten und Berechtigungen in Einrichtungen, die BioStar 2 verwenden, ermöglicht hätten. Böswillige Akteure könnten damit in sichere Einrichtungen eindringen und ihre Sicherheitsprotokolle für kriminelle Aktivitäten manipulieren.
Dieses Datenleck gefährdet sowohl die beteiligten Unternehmen und Organisationen als auch deren Mitarbeiter. Das Sicherheitsteam von vpnmentor konnte auf über 1 Million Fingerabdrücke und Gesichtserkennungsinformationen zugreifen. In Kombination mit den persönlichen Daten, Benutzernamen und Passwörtern ist das Potenzial für kriminelle Aktivitäten und Betrug enorm. Vor allem: Einmal gestohlene Fingerabdrücke und Gesichtserkennungsinformationen können nicht mehr verwendete werden. Die betroffenen Individuen können für den Rest ihres Lebens diese Maßnahmen nicht mehr verwenden.
Das Datenleck wurde am 5. August 2019 gefunden und am 7. August 2019 an den Besitzer der Datenbank gemeldet. BioStar 2 reagierte im Allgemeinen sehr unkooperativ. Das Team unternahm zahlreiche Versuche, das Unternehmen per E-Mail zu kontaktieren, ohne Erfolg. Schließlich wurden die Büros von BioStar 2 telefonisch kontaktiert. Auch hier blieb eine Reaktion des Unternehmen weitgehend aus. Am 13. August wurde das Datenleck geschlossen.
(Quelle: YouTube)
Obiges Video enthält Informationen zum Datenleck. Weitere Details sind dem vpnmentor-Blog-Beitrag zu entnehmen. Einige deutschsprachige Informationen finden sich hier.
Anzeige
Scheinbar hat die Firma ihren Hauptsitz in Korea und diverse Niederlassungen weltweit. Die DSGVO dürfte hier, wie so oft, wieder mal nicht wirken.
Das stimmt nicht ganz: https://www.datenschutzbeauftragter-info.de/raeumlicher-anwendungsbereich-wo-gilt-die-dsgvo/
Nicht umsonst hatten doch einige US-amerikanische Internetpublikationen mit Verweis auf die GDPR EU-Benutzer teilweise per Geoblocking ausgesperrt.