{"id":229554,"date":"2020-03-14T09:28:17","date_gmt":"2020-03-14T08:28:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229554"},"modified":"2020-03-18T23:53:38","modified_gmt":"2020-03-18T22:53:38","slug":"datenleck-bei-biometriefirma-antheus-tecnologia-mit-80-millionen-datenstzen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/14\/datenleck-bei-biometriefirma-antheus-tecnologia-mit-80-millionen-datenstzen\/","title":{"rendered":"Datenleck mit 80 Millionen Datensätzen bei Biometriefirma"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher sind bei dem brasilianischen Unternehmen Antheus Tecnologia, das biometrische L\u00f6sungen in Brasilien und im Ausland entwickelt und vertreibt, auf ein riesiges Datenleck gesto\u00dfen. Es waren \u00fcber 80 Millionen Datens\u00e4tze zug\u00e4nglich, darunter E-Mails von Mitarbeitern des Unternehmens, Telefonnummern, 76.000 eindeutige Fingerabdr\u00fccke und mehr.<\/p>\n

<\/p>\n

\"\"Die Information, dass Sicherheitsforscher auf ein Datenleck bei einem brasilianischen Unternehmen gesto\u00dfen sind<\/a>, ist mir die Woche von von SafetyDetectives zugegangen. <\/p>\n

Wer ist Antheus Tecnologia?<\/h2>\n

Antheus Tecnologia<\/a> wurde im April 1996 gegr\u00fcndet und entwickelt und vertreibt automatisierte Fingerabdruck-Identifizierungssysteme (AFIS), automatisierte Fingerabdr\u00fccke und andere Systeme wie Iriserkennungsger\u00e4te.<\/p>\n

\"Antheus<\/a> <\/p>\n

(Quelle: SafetyDetectives, Zum Vergr\u00f6\u00dfern klicken<\/a>) <\/p>\n

Antheus Tecnologia gibt an, dass es das erste brasilianische Unternehmen ist, das vom US Federal Bureau of Investigation (FBI) zertifiziert wurde und biometrische L\u00f6sungen f\u00fcr Kunden im In- und Ausland entwickelt. <\/p>\n

16 GByte-Datenleck im Identit\u00e4tsserver<\/h2>\n<\/p>\n

Das Team von SafetyDetectives ist bei der Suche im Internet auf einem Elasticsearch-Server des Unternehmens auf etwa 16 Gigabyte Daten gesto\u00dfen, die per Internet erreichbar waren. Unter den Dateien befanden sich hochsensible Informationen zur Identifizierung von Personen und biometrische Details.<\/p>\n

\"Data-Leak\"<\/a>
(Quelle: SafetyDetectives, Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n

Der von dem Sicherheitsteam untersuchte Antheus-Server ist ein Identit\u00e4tsserver. Dieser bietet den Benutzern Zugang zum System oder die M\u00f6glichkeit, sich als neuer Benutzer zu registrieren. <\/p>\n

Auf dem Server waren auch Fingerabdruckinformationen mit mindestens zwei \"Indizes\" (von insgesamt 91) gespeichert, so die Sicherheitsforscher. Das Sicherheitsteam entdeckte insgesamt fast 2,3 Millionen Datenpunkte und sch\u00e4tzt, dass 76.000 einzigartige Fingerabdr\u00fccke in der Datenbank gespeichert sind.<\/p>\n

Welche Daten sind vom Datenleck betroffen?<\/h2>\n

Der Antheus-Server speicherte Server- und API-Zugriffsprotokolle, enthielt aber auch Fingerabdruckdaten, die aus Ridge Bifurcation- und Ridge Ending-Merkmalen bestanden – wesentliche Komponenten zur Identifizierung und Verifizierung von Fingerabdr\u00fccken.<\/p>\n

Das Team hat \u00fcber 81,5 Millionen Datens\u00e4tze in der ungesicherten Datenbank gefunden. Darunter befanden sich auch E-Mails von Mitarbeitern der Firma sowie Telefonnummern sowie die bereits erw\u00e4hnten 76.000 Fingerabdr\u00fccke.<\/p>\n

Zus\u00e4tzlich zu den Fingerabdruckinformationen gab es auch F\u00e4lle, in denen biometrische Daten, wie z.B. Gesichtserkennungsdaten, zug\u00e4nglich und aus der Datenbank abrufbar waren.<\/p>\n

\"Login-Info\"
(Quelle: SafetyDetectives) <\/p>\n

Dar\u00fcber hinaus wurden neben den Benutzerdaten auch Login-Informationen von Administratoren sowie mehrere E-Mail-Adressen und Telefonnummern von Mitarbeitern der Firma gefunden. Das so etwas ungesichert auf einem einzigen Server gespeichert wird, ist \u00e4u\u00dferst ungew\u00f6hnlich und recht fahrl\u00e4ssig. <\/p>\n

Ungew\u00f6hnliche Praxis und weitere Details<\/h2>\n

In ihrem Artikel legen die Sicherheitsforscher weitere Details offen. Der Antheus-Identit\u00e4tsserver erm\u00f6glicht es Benutzern, sich nicht nur einzuloggen. Es lie\u00dfen sich auch neue Benutzer registrieren. Die Praxis, den Zugriff auf Serverdaten auf diese Weise zu erm\u00f6glichen, ist eher ungew\u00f6hnlich. <\/p>\n

Das Sicherheitsteam hat in der Datenbank zwei Indizes gefunden, die sich m\u00f6glicherweise auf zwei verschiedene Unternehmen beziehen, die den Antheus-Server zur Speicherung pers\u00f6nlicher Informationen einschlie\u00dflich Fingerabdruckdaten verwenden. Dar\u00fcber hinaus fanden sich Datenprotokolle, die sich auf Fingerabdruckscans beziehen. Diese k\u00f6nnen aus den auf dem Antheus-Server gespeicherten Indexnummern rekonstruiert werden.<\/p>\n

Die Sicherheitsforscher tippen darauf, das sich m\u00f6glicherweise aus den auf dem Server gefundenen Datenketten eine biometrische Image-Map f\u00fcr einen bestimmten Fingerabdruck neu zu erstellen (oder ein Reverse-Engineering durchf\u00fchren) l\u00e4sst.<\/p>\n

Weitere Schwachstelle gefunden<\/h2>\n

Parallel zum Datenleck der Datenbank mit den biometrischen Daten hatte die Firma Antheus Tecnologia noch eine andere Schwachstelle in ihrem System. Diese wurde von den Sicherheitsforschern w\u00e4hrend ihrer Untersuchung bemerkt. Das Unternehmen bietet Dienstleistungen f\u00fcr ein nationales ziviles Identifizierungssystem in Brasilien an. Dieses wird zur Ausstellung von F\u00fchrerscheinen verwendet, obwohl das Zugangsportal, das f\u00fcr das Anlegen neuer Benutzer verwendet wird, aufgrund eines fehlenden Passwortschutzes nicht sicher ist.<\/p>\n

Das ist erneut 'ein volles Programm' in Sachen Sicherheitsverst\u00f6\u00dfen \u2013 und das bei einer Firma, die im Bereich biometrische Zugangsdaten aktiv ist. Details lassen sich diesem Blog-Beitrag<\/a> entnehmen. <\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher sind bei dem brasilianischen Unternehmen Antheus Tecnologia, das biometrische L\u00f6sungen in Brasilien und im Ausland entwickelt und vertreibt, auf ein riesiges Datenleck gesto\u00dfen. Es waren \u00fcber 80 Millionen Datens\u00e4tze zug\u00e4nglich, darunter E-Mails von Mitarbeitern des Unternehmens, Telefonnummern, 76.000 eindeutige … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-229554","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229554","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229554"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229554\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229554"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229554"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229554"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}