[English]Sicherheitsforscher sind bei dem brasilianischen Unternehmen Antheus Tecnologia, das biometrische Lösungen in Brasilien und im Ausland entwickelt und vertreibt, auf ein riesiges Datenleck gestoßen. Es waren über 80 Millionen Datensätze zugänglich, darunter E-Mails von Mitarbeitern des Unternehmens, Telefonnummern, 76.000 eindeutige Fingerabdrücke und mehr.
Anzeige
Die Information, dass Sicherheitsforscher auf ein Datenleck bei einem brasilianischen Unternehmen gestoßen sind, ist mir die Woche von von SafetyDetectives zugegangen.
Wer ist Antheus Tecnologia?
Antheus Tecnologia wurde im April 1996 gegründet und entwickelt und vertreibt automatisierte Fingerabdruck-Identifizierungssysteme (AFIS), automatisierte Fingerabdrücke und andere Systeme wie Iriserkennungsgeräte.
(Quelle: SafetyDetectives, Zum Vergrößern klicken)
Anzeige
Antheus Tecnologia gibt an, dass es das erste brasilianische Unternehmen ist, das vom US Federal Bureau of Investigation (FBI) zertifiziert wurde und biometrische Lösungen für Kunden im In- und Ausland entwickelt.
16 GByte-Datenleck im Identitätsserver
Das Team von SafetyDetectives ist bei der Suche im Internet auf einem Elasticsearch-Server des Unternehmens auf etwa 16 Gigabyte Daten gestoßen, die per Internet erreichbar waren. Unter den Dateien befanden sich hochsensible Informationen zur Identifizierung von Personen und biometrische Details.
(Quelle: SafetyDetectives, Zum Vergrößern klicken)
Der von dem Sicherheitsteam untersuchte Antheus-Server ist ein Identitätsserver. Dieser bietet den Benutzern Zugang zum System oder die Möglichkeit, sich als neuer Benutzer zu registrieren.
Auf dem Server waren auch Fingerabdruckinformationen mit mindestens zwei "Indizes" (von insgesamt 91) gespeichert, so die Sicherheitsforscher. Das Sicherheitsteam entdeckte insgesamt fast 2,3 Millionen Datenpunkte und schätzt, dass 76.000 einzigartige Fingerabdrücke in der Datenbank gespeichert sind.
Welche Daten sind vom Datenleck betroffen?
Der Antheus-Server speicherte Server- und API-Zugriffsprotokolle, enthielt aber auch Fingerabdruckdaten, die aus Ridge Bifurcation- und Ridge Ending-Merkmalen bestanden – wesentliche Komponenten zur Identifizierung und Verifizierung von Fingerabdrücken.
Das Team hat über 81,5 Millionen Datensätze in der ungesicherten Datenbank gefunden. Darunter befanden sich auch E-Mails von Mitarbeitern der Firma sowie Telefonnummern sowie die bereits erwähnten 76.000 Fingerabdrücke.
Zusätzlich zu den Fingerabdruckinformationen gab es auch Fälle, in denen biometrische Daten, wie z.B. Gesichtserkennungsdaten, zugänglich und aus der Datenbank abrufbar waren.
(Quelle: SafetyDetectives)
Darüber hinaus wurden neben den Benutzerdaten auch Login-Informationen von Administratoren sowie mehrere E-Mail-Adressen und Telefonnummern von Mitarbeitern der Firma gefunden. Das so etwas ungesichert auf einem einzigen Server gespeichert wird, ist äußerst ungewöhnlich und recht fahrlässig.
Ungewöhnliche Praxis und weitere Details
In ihrem Artikel legen die Sicherheitsforscher weitere Details offen. Der Antheus-Identitätsserver ermöglicht es Benutzern, sich nicht nur einzuloggen. Es ließen sich auch neue Benutzer registrieren. Die Praxis, den Zugriff auf Serverdaten auf diese Weise zu ermöglichen, ist eher ungewöhnlich.
Das Sicherheitsteam hat in der Datenbank zwei Indizes gefunden, die sich möglicherweise auf zwei verschiedene Unternehmen beziehen, die den Antheus-Server zur Speicherung persönlicher Informationen einschließlich Fingerabdruckdaten verwenden. Darüber hinaus fanden sich Datenprotokolle, die sich auf Fingerabdruckscans beziehen. Diese können aus den auf dem Antheus-Server gespeicherten Indexnummern rekonstruiert werden.
Die Sicherheitsforscher tippen darauf, das sich möglicherweise aus den auf dem Server gefundenen Datenketten eine biometrische Image-Map für einen bestimmten Fingerabdruck neu zu erstellen (oder ein Reverse-Engineering durchführen) lässt.
Weitere Schwachstelle gefunden
Parallel zum Datenleck der Datenbank mit den biometrischen Daten hatte die Firma Antheus Tecnologia noch eine andere Schwachstelle in ihrem System. Diese wurde von den Sicherheitsforschern während ihrer Untersuchung bemerkt. Das Unternehmen bietet Dienstleistungen für ein nationales ziviles Identifizierungssystem in Brasilien an. Dieses wird zur Ausstellung von Führerscheinen verwendet, obwohl das Zugangsportal, das für das Anlegen neuer Benutzer verwendet wird, aufgrund eines fehlenden Passwortschutzes nicht sicher ist.
Das ist erneut 'ein volles Programm' in Sachen Sicherheitsverstößen – und das bei einer Firma, die im Bereich biometrische Zugangsdaten aktiv ist. Details lassen sich diesem Blog-Beitrag entnehmen.
Anzeige
Yea! Biometrie! Jetzt Mussen sich alle betroffenen aus Sicherheitsgründen die betroffenen Finger abschneiden ;)
Das hat ja wahrscheinlich auch alles 1996 gut funktioniert. Wieso sollte man das auch ändern? "Never change a running system"
Es ist alles sicher … oder …