Fingerabdrücke, Fotos und persönliche Passwörter von Millionen Menschen unverschlüsselt im Netz gefunden. Durch eine schwere Sicherheitslücke bei Suprema hatten Sicherheitsforscher Zugriff auf sämtliche Daten und konnten diese sogar manipulieren.
Dem südkoreanischen Sicherheitsunternehmen Suprema ist eine sehr schwere Datenpanne unterlaufen. Auf ihrer Biostar2-Plattform ermöglichen sie es Unternehmen, mithilfe von Gesichtserkennung und Fingerabdrücken Menschen zu identifizieren und Zugangsbefugnisse zu sicheren Bereichen in Gebäuden zu vergeben. Es handelt sich dabei um eine sogenannte „biometrische Smart-Lock-Plattform“.
Entdeckt wurde die Sicherheitslücke von vpnMentor Datenschutzexperten. Bei der Untersuchung der Sicherheitslücke fanden die Forscher 23 Gigabyte sehr sensibler unverschlüsselter Daten, auf die sie zugreifen konnten. Zu den mehr als 27 Millionen Datensätzen gehören biometrische Daten von Angestellten, aber auch deren Sicherheitsstufen und -Freigaben und unverschlüsselte Benutzernamen sowie Passwörter. Die Sicherheitslücke ist besonders schwerwiegend, weil das System auch von der britischen Polizei, Banken und Sicherheitsfirmen genutzt wird. Das System wird aber auch von mehr als 5.700 Unternehmen in 83 Ländern eingesetzt. Zu den Kunden gehören einige der größten multinationalen Unternehmen. Aber auch kleine, regionale Firmen, Behörden und Banken nutzen das Produkt. Es gehört zu den Top 50 Herstellern von Sicherheitssoftware weltweit.
Lebenslang von der Sicherheitslücke betroffen
Aber nicht nur Geschäfte und Organisationen sind durch die Sicherheitslücke betroffen, sondern auch die Angestellten. Das Team von vpnMentor konnte auf mehr als eine Million Fingerabdrücke und Daten zur Gesichtserkennung zugreifen. In Kombination mit den persönlichen Daten der Angestellten, Anwendernamen und Passwörtern ist das Potenzial für kriminelle Aktivitäten und Betrug somit riesig. Biometrischen Daten wie Fingerabdrücke oder Gesichtsscans kann man nicht mal eben ersetzen wie ein altes Passwort. Betroffene Personen könnten also eventuell ihr ganzes Leben lang von dieser Sicherheitslücke betroffen sein.
Um so erstaunlicher ist die Arroganz und unkooperative Zusammenarbeit der betroffenen Sicherheitsfirma im Umgang mit dieser schweren Sicherheitslücke. Die Firma antwortete nicht auf E-Mails der Sicherheitsforscher, nachdem diese am 07. August versuchten das Unternehmen über die Sicherheitslücke in Kenntnis zu setzen. Auch ein deutscher Mitarbeiter der Firma hatte telefonischen Kontakt mit vpnMentor verweigert, bzw. einfach wieder aufgelegt. Erst durch einen Kontakt in der französischen Niederlassung von Suprema konnte die Sicherheitslücke am 13. August endlich geschlossen werden.