Suprema ist eine koreanische IT Firma, die sich auf biometrische Sicherheitslösungen spezialisiert hat und vor allem auf dem europäischen Markt mit Zutrittskontrollsystemen aktiv ist. Nach eigenen Angaben gehört Suprema in Europa zu den führenden Anbietern in diesem Sicherheitssegment. Zu den Kunden gehören Banken, Behörden, Unternehmen mit hohen Sicherheitsanforderungen und auch die britische Polizei.
Relevantes Sicherheitsleck bei Suprema entdeckt
Verschiedene Medien berichten übereinstimmend über ein Sicherheitsleck bei dem koranischen Anbieter Suprema, der auch in Europa biometrische Zutrittskontrollsysteme verkauft.
Entdeckt wurde das Leck von den israelischen Sicherheitsforschern Noam Rotem und Ran Lokar. Beide arbeiten für vpnMentor, ein internationales Portal, das auf virtuelle private Netzwerke (VPN) spezialisiert ist und regelmäßig Sicherheitslösungen untersucht. Die Spezialisten konnten eine Datenbank identifizieren, die ungeschützt und unverschlüsselt abrufbar war. Darin befinden sich Millionen biometrische Daten, u.a. auch Fingerabdrücke, die als biometrischer „Ausweis“ funktionieren.
Die Datei konnte der Firma Suprema und dem System „Biostar2“ zugeordnet werden. Das System ist eine Plattform für „intelligente“ Türschlösser, die per Fingerprint oder Gesichtsscan geöffnet werden können. Diese Sicherheitslösungen werden meist im höheren Sicherheitsbereich für Labore, Ministerien, Geldinstitute und andere Bereiche verwendet.
Mehrere Millionen Daten frei im Netz
Die Sicherheitsexperten hatten nach der Entdeckung des Datenlecks freien Zugang zu 27,8 Millionen Datensätze und 23 Gigabyte Daten. Sie fanden Fingerprint- und Gesichtserkennungsdaten, Gesichtsscan von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personal. Diese Daten ermöglichten es den beiden Männern, die Kontrolle über zugehörige Konten im System zu übernehmen. Zudem hatten sie die Möglichkeit, vorhandene Firmenkonten zu manipulieren oder neue Konten anzulegen.
Rotem und Lokar zeigten sich dem „Guardian“ gegenüber entsetzt über die mangelnde Sicherheit bei Suprema und auch deren Kunden, die ihre Konten mit „lächerlich einfachen“ Passwörtern gesichert hätten. „Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können“ sagte Rotem.
Suprema schließt Lücke
Der Marketingleiters von Suprema, Andy Ahn, sagte dem Guardian, dass die Sicherheitslücken bereits geschlossen und eigene Analysen auf der Basis der Erkenntnisse von vpnMentor vorgenommen wurden. Wenn eine Bedrohung vorliege, würden Kunden informiert.