Die App Clearview erlaubt es Nutzern, Fotos von Personen hochzuladen und diese per Gesichtserkennungssoftware zu identifizieren. Basis der Anwendung ist eine Datenbank mit rund 3 Milliarden Fotos. Das Unternehmen hat diese über soziale Netzwerke wie Facebook, LinkedIn und Instagram gesammelt. Ein Sicherheitsexperte entdeckte jetzt, dass zahlreiche Daten von Clearview offen im Netz lagen. Wie konnte es dazu kommen? Und welche Informationen waren frei zugänglich?
Wie waren die Daten zugänglich?
Der Datenspeicher auf dem Server war durch ein Password geschützt. User konnten sich jedoch als neuer Nutzer registrieren und dann selbst ein Passwort erstellen. So hatten sie freien Zugang zu den Daten.
Diese Daten lagen offen im Netz
Auf dem Server lagen unter anderem der Quellcode der biometrischen Gesichtserkennung, fertige Apps für Android, iOS und Windows sowie rund 70.000 Videos. Die Videos zeigten Personenaufnahmen, die Clearview über einem Testlauf in einem Wohngebäude in Manhattan aufgenommen hatte. Zudem lagen auf dem Server die Zugänge zu den Messengern der Mitarbeiter von Clearview. Dritte konnten sich so in die Kommunikation von Clearview einloggen und interne Gesprächsverläufe lesen.
Wer hat das Datenleck entdeckt?
Mossab Hussein der IT-Sicherheitsfirma spiderSilk hat das Datenleck bei Clearview entdeckt. Er informierte als Erstes das Unternehmen. Dies stopfte die Sicherheitslücke. Danach berichtete Hussein dem Online-Magazin Techcrunch.
So reagierte Clearview auf das Datenleck
Clearview gab an, den Server einem vollständigen forensischen Audit unterzogen zu haben. Dieser habe ergeben, dass niemand unautorisiert darauf zugegriffen habe. Es seien keine Daten abhandengekommen, so Clearview.
Fazit
Erst vor 2 Monaten hatten Hacker die Kundenliste von Clearview erbeutet und veröffentlicht. Dabei kam heraus: Zu den Kunden des Unternehmens zählen nicht nur Strafverfolgungsbehörden der USA, sondern auch mehrere Kaufhausketten. Das hatte Folgen: In den USA laufen mehrere Klagen gegen Clearview. In Deutschland überprüft derzeit der Hamburger Datenschutzbeauftragte Johannes Caspar das Unternehmen.
Anzeige




