Massiver Datenleak: Biometrische Daten von indischen Polizeibeamten online veröffentlicht

Ein gravierender Sicherheitsvorfall hat die Aufmerksamkeit auf die Risiken der Speicherung biometrischer Daten gelenkt. Tausende von persönlichen Informationen, einschließlich Fingerabdrücken, Gesichts-Scans, Unterschriften sowie Details zu Tätowierungen und Narben von indischen Polizeibeamten und Bewerbern, sind im Internet aufgetaucht. Gleichzeitig bieten Cyberkriminelle ähnliche biometrische Daten zum Verkauf auf der Messaging-App Telegram an.

Enthüllung des Datenleaks

Der Sicherheitsforscher Jeremiah Fowler entdeckte die sensiblen Dateien auf einem ungesicherten Webserver der Firma ThoughtGreen Technologies, die Büros in Indien, Australien und den USA unterhält. Insgesamt wurden fast 500 Gigabyte Daten mit rund 1,6 Millionen Dokumenten gefunden, die von 2021 bis Anfang April 2024 datiert sind. Diese umfassen neben den biometrischen Daten auch Geburtsurkunden, Diplome, Bildungserlaubnisse und Jobbewerbungen. Besonders besorgniserregend waren die Dokumente, die scheinbar mit der Verifikation von indischen Strafverfolgungs- oder Militärpersonal verbunden waren.

Umfang und Auswirkungen

Der Leak zeigt das immense Risiko der Speicherung sensibler biometrischer Daten. Während Passwörter und Bankinformationen geändert werden können, sind biometrische Merkmale wie Fingerabdrücke und Gesichts-Scans unveränderlich. Diese Daten könnten von Kriminellen oder Betrügern in Zukunft genutzt werden, um Personen zu identifizieren und zu verfolgen, was insbesondere für Personen in sensiblen Polizeipositionen gefährlich ist.

In der durchgesickerten Datenbank befanden sich unter anderem Mobilapplikationen und Installationsdateien für Gesichtserkennungssoftware sowie 8 Gigabyte an Gesichtsdaten. Weiterhin wurden zahlreiche Dokumente, die physische Effizienztests und Bewerbungsformulare für Polizeibeamte sowie Identifikationsdokumente mit detaillierten Beschreibungen von Merkmalen wie "Leberfleck an der Nase" oder "Narbe am Kinn" enthielten, entdeckt.

Verkauf der Daten

Nach der Schließung des ungesicherten Servers entdeckte Fowler einen Telegram-Kanal, der behauptete, indische Polizeidaten zum Verkauf anzubieten. Die Struktur und die Ordnernamen des Angebots stimmten mit den von ihm gefundenen Daten überein. ThoughtGreen Technologies erklärte, dass sie sofort Maßnahmen zur Sicherung der exponierten Daten ergriffen hätten und eine Untersuchung eingeleitet wurde, um sicherzustellen, dass ein solcher Vorfall nicht erneut passiert. Die Firma meldete den Vorfall den Strafverfolgungsbehörden in Indien, ohne jedoch spezifische Details zu nennen.

Reaktionen und Forderungen

Prateek Waghre von der indischen digitalen Rechteorganisation Internet Freedom Foundation betonte die weitreichende Sammlung biometrischer Daten in Indien und die zusätzlichen Sicherheitsrisiken für Personen in der Strafverfolgung. Eine unsachgemäße Speicherung dieser Daten könnte es Unbefugten ermöglichen, Zugang zu Informationen zu erlangen, die sie nicht haben sollten. Shivangi Narayan, eine unabhängige Forscherin in Indien, forderte robustere Datenschutzgesetze und eine sorgfältigere Handhabung von Daten durch Unternehmen und Organisationen.

Globale Implikationen

Der Vorfall in Indien ist Teil eines größeren Problems: Weltweit verlassen sich Regierungen, Unternehmen und Organisationen zunehmend auf die Erfassung biometrischer Daten zur Identitätsprüfung oder im Rahmen von Überwachungstechnologien. Dies erhöht das Risiko von Datenlecks und Missbrauch erheblich. Ein kürzlicher Vorfall in Australien, bei dem Gesichtserkennungsdaten von bis zu einer Million Menschen betroffen waren, führte zur Anklage wegen Erpressung.

Fazit

Dieser Vorfall verdeutlicht die dringende Notwendigkeit für strengere Sicherheitsmaßnahmen und Regulierungen im Umgang mit biometrischen Daten. Der Schutz solcher sensiblen Informationen muss höchste Priorität haben, um die Privatsphäre und Sicherheit der Betroffenen zu gewährleisten. Unternehmen und Behörden müssen sicherstellen, dass sie die besten verfügbaren Sicherheitspraktiken anwenden, um Datenlecks und deren schwerwiegende Folgen zu verhindern.