Ein Bruch auf der Bio Star 2-Sicherheitsplattform enthüllte Millionen von Fingerabdruckdaten, Passwörtern und Gesichtserkennungsdaten
Biometrie wird heute sowohl zur Sicherung physischer als auch digitaler Vermögenswerte verwendet. Dafür gibt es einen sehr guten Grund. Die Authentifizierung von Benutzern mit Hilfe von Fingerabdrucklesern oder Gesichtserkennungssystemen ist nicht nur schneller und bequemer, sondern auch um einiges sicherer als die Alternativen. Biometrische Daten können Administratoren und Sicherheitsteams in großen Organisationen auch die Einrichtung strenger Richtlinien für die Zugriffskontrolle erleichtern und sicherstellen, dass alles ordnungsgemäß protokolliert wird.
Bei allen Vorteilen hat die Biometrie jedoch einen großen Nachteil, den Skeptiker der Technologie häufig anführen. Im Gegensatz zu Passwörtern können Fingerabdrücke und Gesichter nicht geändert oder zurückgesetzt werden. Wenn biometrische Daten freigelegt werden, werden sie für immer freigelegt, und die Folgen können ziemlich schwerwiegend sein. Ein kürzlich aufgetretenes Datenleck auf einer Sicherheitsplattform namens Bio Star 2 hat uns gezeigt, wie ernst sie sein können.
Table of Contents
Die Verletzung von Bio Star 2 könnte katastrophale Folgen haben
Diejenigen unter Ihnen, die bestrebt sind, stets auf dem neuesten Stand der Informationssicherheitsbranche zu sein, haben von Noam Rotem, Ran Locar und ihrem Team bei vpnMentor gehört. In den letzten Monaten haben sie mehr als ein paar schlecht konfigurierte Datenbanken und Server entdeckt, auf denen tonnenweise vertrauliche Informationen verloren gingen. Die Verletzung von Bio Star 2 könnte jedoch der schwerwiegendste Zwischenfall sein, den sie je gesehen haben.
Die freigelegten Informationen befanden sich erneut in einer Elasticsearch-Datenbank, die nicht durch ein Passwort geschützt war und von überall auf der Welt zugänglich war. Die Datenbank enthielt unter anderem mehr als eine Million Fingerabdruckscans und Bilder von Benutzern, die in Bio Star 2 integrierte Gesichtserkennungsgeräte verwendet haben. Dies hört sich an sich schon schlimm genug an, wird aber noch viel schlimmer.
Laut Rotem und Locar verfügt Bio Star 2 über mehr als 1,5 Millionen Installationen auf der ganzen Welt, und sein Entwickler Suprema hat kürzlich eine Partnerschaft mit einem Technologieunternehmen namens Nedap geschlossen, um die Plattform in das AEOS-Zugangskontrollsystem zu integrieren. AEOS wird von fast 6.000 Organisationen eingesetzt, die von kleinen Fitnessstudios bis hin zu massiven Regierungs- und Strafverfolgungsbehörden reichen. Die Forscher sagten, dass es schwierig sei, die genaue Anzahl der betroffenen Personen abzuschätzen, sie wiesen jedoch darauf hin, dass einige der Mitarbeiter der genannten Agenturen ihre biometrischen Daten möglicherweise offengelegt hätten.
Benutzernamen, Kennwörter und andere vertrauliche Daten gingen ebenfalls verloren
Leider enthielt die falsch konfigurierte Elasticsearch-Installation viel mehr als nur Fingerabdrücke und Gesichtserkennungsinformationen. Die Forscher fanden die Berufsbezeichnungen, Strukturen und Hierarchien der Mitarbeiter, Sicherheitsstufen, Freigaben und Protokolle, in denen angegeben war, wer wann auf gesicherte Bereiche zugegriffen hat. Persönliche Informationen, wie Privat- und E-Mail-Adressen, sowie eine ganze Reihe von Benutzernamen und Passwörtern gingen verloren.
Die Forscher gingen nicht auf zu viele Details darüber ein, wofür diese Anmeldeinformationen genau verwendet wurden, aber sie sagten nicht, dass sie Cyberkriminellen mit Bio Star 2 Zugriff auf Admin-Panels, Dashboards und die Back-End-Infrastruktur von Organisationen gewähren könnten Einige der Passwörter, die Rotem und Locar gefunden hatten, waren äußerst schwach. Dies ist zwar beunruhigend, aber nicht besonders überraschend . Schockierend ist jedoch, dass die Entwickler von Bio Star 2 nicht wirklich genug getan haben, um die Sicherheit ihrer Kunden zu gewährleisten. Und das sogar ohne Berücksichtigung des Konfigurationsfehlers, der die Datenbank offengelegt hat.
Das Datenleck deckte die Datenverarbeitungsprobleme von Bio Star 2 auf
Die Forscher fanden die exponierte Datenbank am 5. August und machten sich sofort daran, Suprema zu kontaktieren und den Verstoß offenzulegen. Das Team unternahm "zahlreiche Versuche", sich per E-Mail mit den Entwicklern in Verbindung zu setzen. Nachdem jedoch keine Antwort einging, nahmen sie den Hörer ab und versuchten, die Niederlassung des Unternehmens in Deutschland anzurufen. Aus völlig unerfindlichen Gründen haben sich die deutschen Mitarbeiter von Suprema geweigert, die Angelegenheit zu erörtern. vpnMentor versuchte dann, Kontakt mit dem französischen Entwicklerteam aufzunehmen, und diesmal erhielten sie etwas mehr Kooperation. Am 13. August wurden die Daten endgültig gesichert.
Die Reaktion des Entwicklers war sicherlich nicht so gut, wie es hätte sein sollen, aber leider ist dies alles andere als das einzige Problem.
Alle Anmeldeinformationen Rotum und Locar gefunden wurden unverschlüsselt gespeichert, die von nur über die unsichere Art und Weise ist Umgang mit dieser Art von Daten. Die Situation mit den biometrischen Aufzeichnungen war so ziemlich die gleiche - Bio Star 2 hatte nichts unternommen, um sie zu schützen, falls sie durchsickern sollten.
Wenn ein Unternehmen dafür verantwortlich ist, die Sicherheit so vieler Unternehmen zu gewährleisten, die wiederum auf so viele wichtige Informationen achten müssen, ist diese Art von Fehler einfach inakzeptabel, und wir sind uns ziemlich sicher, dass dies bei einigen Kunden von Bio Star nicht der Fall ist im Moment besonders glücklich. Wie Sie sehen, gibt es dafür einen guten Grund.
