Gesichtserkennung: Quellcode von Clearview lag offen im Netz

Ein Security-Experte entdeckte auf einem schlecht konfigurierten Server der US-Firma auch geheime Schlüssel für einen Cloud-Speicher mit Apps und 70.000 Videos.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 30 Beiträge

(Bild: nattaphol phromdecha/Shutterstock.com)

Von

Erneute Datenpanne beim umstrittenen Startup Clearview AI: Auf einem nachlässig konfigurierten Server der auf automatisierte Gesichtserkennung spezialisierten US-Firma waren vorübergehend sensible interne Dateien wie der Quellcode der Biometrieanwendung, fertige Apps für die Betriebssysteme Android, iOS, Mac und Windows, 70.000 Videos sowie Zugangskennungen für die betriebliche Messenger-Kommunikation übers Internet frei zugänglich. Jeder Interessierte mit Wissen über die Sicherheitslücke hätten so die Kronjuwelen des Unternehmens einfach abgreifen können.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Mossab Hussein, ein leitender Mitarbeiter der in Dubai sitzenden IT-Sicherheitsfirma SpiderSilk, entdeckte die offene Flanke und setzte das Online-Magazin Techcrunch darüber in Kenntnis. Zuvor hatte er Clearview über das Leck informiert, woraufhin dieses abgedichtet worden war. Der übers Netz zugängliche Datenspeicher war dem Bericht nach zwar durch eine Passwortabfrage geschützt, das System ließ es aber zu, sich ohne irgendwelche Voraussetzungen als neuen Nutzer zu registrieren und mit den selbst angelegten Kennungen einzuloggen.

Der auf dem so erreichbaren Serververzeichnis abgelegte Source-Code könnte etwa genutzt werden, um eigene Apps für die Lösung zu kompilieren und zum Laufen zu bringen. Der Dienst der Firma erlaubt es Nutzern, ein Foto einer Person zu erstellen, es hochzuladen und mit einer von Clearview größtenteils aus sozialen Netzwerken zusammengetragenen Datenbank mit rund drei Milliarden Porträtaufnahmen abzugleichen. So lässt sich potenziell die Identität des Fotografierten einfach herausfinden.

Hussein gelang es unter anderem auch, Bildschirmfotos von der Funktionsweise der iOS-App am Beispiel eines hochgeladenen Fotos von Facebook-Gründer Mark Zuckerberg zu machen. Apple blockierte die Anwendung Ende Februar, da Clearview gegen die Nutzungsbedingungen des konzerneigenen Entwicklerprogramms verstoßen habe. Die App war zuvor – genauso wie die Variante für Android – auf einem öffentlichen Amazon-Cloudspeicher zugänglich gewesen. Facebook, Google und Twitter haben das Startup zudem aufgefordert, alle von ihren Netzwerken abgezogenen Gesichtsaufnahmen zu löschen.

Auf dem Clearview-Server lagen laut Hussein ferner geheime Schlüssel für weitere Cloud-Speicher, die neben lauffähigen auch einige sich noch im Entwicklungsstadium befindliche Apps sowie Zugangstokens für den Messenger-Dienst Slack enthielten, über die man ohne Passwort auf private Nachrichten von Mitarbeitern hätte zugreifen können. Die ebenfalls dort abgelegten zehntausende Videos mit Personenaufnahmen sollen aus einem Testlauf für die von der Firma entworfene "Insight-Kamera" in einem Wohngebäude in Manhattan stammen.

Die Arbeit an dem Prototypen sei mittlerweile eingestellt worden, erklärte Clearview-Geschäftsführer Hoan Ton-That gegenüber Techcrunch. Die Videos hätten nur "Debugging-Zwecken" gedient und seien "mit Erlaubnis des Gebäudemanagements" erstellt worden. Ob die betroffenen Bewohner und Besucher über ihre fortlaufende Überwachung informiert worden waren und in die Maßnahme eingewilligt hatten, ließ er offen.

Ton-That versicherte zudem, dass Clearview den falsch konfigurierten Hostserver einem "vollständigen forensischen Audit" unterzogen habe. Ergebnis der Prüfung sei gewesen, dass "kein anderer unautorisierter Zugang stattfand". Personenbeziehbare Informationen, Suchverläufe oder biometrische Merkmale von Anwendern der App und betroffenen Internetnutzern seien nicht abhanden gekommen.

Vor zwei Monaten war die Kundenliste Clearviews bereits Hackern in die Hände gefallen und später medial aufgearbeitet worden. Entgegen öffentlicher Beteuerungen zählen demnach nicht nur Strafverfolgungsbehörden zu den Anwendern des Dienstes, sondern etwa auch viele Kaufhausketten. In den USA sind mittlerweile mehrere Klagen gegen das Unternehmen anhängig. Der Generalstaatsanwalt von Vermont untersucht, ob dieses gegen Datenschutzbestimmungen verstoßen hat. Hierzulande hat der Hamburgische Datenschutzbeauftragte Johannes Caspar ein Prüfverfahren gegen die Firma eingeleitet. (tiw)