Business Security, Verschlüsselung & Datensicherheit

Hacker entdeckten gravierende Sicherheitslücke

Hacker entdeckten gravierende Sicherheitslücke
Israelische Hacker haben biometrische Daten von Millionen Nutzern offen im Netz entdeckt.

Es ist ein digitales Schloss mit dem Namen „Biostar2“, das neben verschiedenen Unternehmen auch von der britischen Polizei und von Banken genutzt wird. Wie kürzlich bekannt wurde, entdeckten nun zwei Hacker bei dem biometrischen Zutrittskontrollsystem eine gravierende Sicherheitslücke. Besonders brisant waren unter anderem die „lächerlich einfachen Passwörter“.

Riesige Datenbank ungeschützt und unverschlüsselt

Sicherheitsforscher aus Israel haben eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnte, wie n-tv.de unter Berufung auf Berichte des britischen „Guardians“ sowie des israelischen Portals „Calacalist“, ausführte. Dabei handelt es sich um das System "Biostar 2" der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist.

Wie funktioniert „Biostar2“?

„Biostar2“ arbeitet auf der Basis von Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Das System wird nach Angaben des "Guardians" auch von der britischen Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt.

Nun waren es die Beiden israelischen Hacker Noam Rotem und Ran Lokar, die für den Dienst vpnMentor arbeiten, denen es gelungen war, die gravierende Sicherheitslücke zu entdecken. Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal „Calcalist“.

Leichtfertige Absicherung mit „abcd1234“

Den Berichten zufolge hatten die Forscher Zugriff auf mehr als 27,8 Millionen Datensätze und 23 Gigabyte Daten, darunter:

  • Fingerabdruck- und Gesichtserkennungsdaten
  • Gesichtsfotos von Benutzern
  • unverschlüsselte Benutzernamen und Passwörter
  • Protokolle über den Zugang zu den Einrichtungen
  • Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals
  • Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.

Entsetzt zeigten sich die Forscher darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden.

"Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können",

sagten die Forscher dem "Guardian".

Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben:

"Viele Konten enthielten lächerlich einfache Passwörter wie "Passwort" und "abcd1234".

Der Marketingleiter von Suprema, Andy Ahn, sagte, das Unternehmen habe eine "eingehende Bewertung" der von vpnMentor bereitgestellten Informationen vorgenommen. Die Kunden würden im Falle einer Bedrohung informiert. Die Sicherheitslücke sei inzwischen geschlossen worden.

Weiterführende Links:

Daten verschlüsseln und sichern

n-tv.de: Digitale Türschlösser unsicher Hacker entdecken Mega-Datenleck im Web

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Business Security

Datenrettungs-Experte schlägt Alarm: Fehlende IT-Notfallpläne als offene Flanke im Kampf gegen Ransomware

Ransomware - Datenklau - Datenrettung
Foto: harshahars - pixabay.com

IT-Sicherheitsstrukturen deutscher und internationaler Unternehmen sind durch die rasanten Innovationen digitaler Technologien sowie politischen, ökonomischen und ökologischen Herausforderungen stark gefordert.

Verschlüsselung & Datensicherheit

Spyware auf EU-Abgeordneten-Handys

Bedrohungen, die speziell auf Android-, Chromebook- oder iOS-Mobilgeräte abzielen, nehmen laut Sicherheitsexperten nicht nur in der Anzahl zu, sondern auch in der Daten-Tiefe, die aus Geräten mittels unberechtigter Zugänge „ausgelesen“ wird.

Business Security

Schutz vor DDoS-Angriffen: Warum Prävention entscheidend ist

Foto: Canva

In der Ära der digitalen Transformation stehen Unternehmen und Behörden vor einer zunehmenden Abhängigkeit von digitalen Plattformen und Diensten, die eine effiziente Geschäftsabwicklung ermöglichen. Doch während die Digitalisierung unbestreitbare Vorteile bietet, öffnet sie auch Tür und Tor für eine Vielzahl von Cyberbedrohungen.

Verschlüsselung & Datensicherheit

Was bringt 2024? Ist die Zukunft sicher und passwort-frei?

Es ist ein offenes Geheimnis, dass Passwörter nach wie vor eines der Haupteinfallstore für Cyberangriffe sind, weil sich insbesondere schwache Passwörter durch Brute-Force-Angriffe, bei Password-Spraying-Kampagnen oder mittels Social Engineering kompromittieren lassen. Starke Passwörter erhöhen die Sicherheit, wenn sie lang und zufällig sind.

Diese Themen könnten Sie auch interessieren!

X

Am 2. August startet die White-Hat-Hacking-Challenge „Deutschlands Bester Hacker 2023“

Bereits 2020 als regionales Event „Frankens Bester Hacker“ ins Leben gerufen und 2021 auf „Bayerns Beste Hacker“...
oben