Sicherheitslücke bei Gesichtserkennungsfirma Clearviews Server offen für alle Neugierigen

Neue Panne beim Gesichtserkennungs-Start-up Clearview AI: Der Quellcode der App sowie interne Chats waren für Dritte zugänglich. Auch Hamburgs Datenschützer ist noch nicht fertig mit der Firma.
Gesichtserkennung ist vor allem für Sicherheitsbehörden interessant

Gesichtserkennung ist vor allem für Sicherheitsbehörden interessant

Foto: HO/ REUTERS

Das Gesichtserkennungs-Start-up Clearview AI hat einen seiner Server schlecht gesichert. Wie "TechCrunch" berichtet , hat Mossab Hussein von der IT-Sicherheitsfirma SpiderSilk aus Dubai den Server im Internet gefunden und erkannt, dass sich der Passwortschutz mit einem simplen Trick umgehen ließ: Dank eines Konfigurationsfehlers konnte er sich einfach als neuer Nutzer registrieren und bekam damit Zugriff.

Auf dem Server fand Hussein demnach den Quellcode der Clearview-App sowie Zugangsdaten und -token für die firmeninterne Kommunikation über Slack sowie zu einem Onlinespeicher, auf dem wiederum neue Vorabversionen der Clearview-App abgelegt waren. Auch Hinweise auf den Prototyp einer Videokamera mit integrierter Gesichtserkennung, deren Weiterentwicklung Clearview schon mehrmals bestritten hatte, fanden sich auf dem Server.

Clearview bot dem Sicherheitsforscher Geld für den Fund der Schwachstelle an, aber Hussein lehnte ab, weil er sie im Gegenzug nicht hätte öffentlich machen dürfen.

Clearviews Anwalt: Datenpannen sind "Teil des Lebens im 21. Jahrhundert"

Die App von Clearview ist in erster Linie für Strafverfolger gedacht. Die können Bilder von unbekannten Verdächtigen in der App hochladen, die diese dann mit Clearviews riesiger Datenbank abgleicht. Das Start-up hat soziale Netzwerke wie Twitter, Facebook und Instagram, aber auch Websites von Unternehmen und Bildungseinrichtungen automatisiert nach öffentlich zugänglichen Porträtfotos durchsucht und diese ungefragt kopiert, mitsamt Angaben zum Fundort. Erkennt der Gesichtserkennungs-Algorithmus einen Verdächtigen mit einer gewissen Wahrscheinlichkeit wieder, bekommen Strafverfolger die als ihm ähnlich erkannten Bilder angezeigt und erfahren so möglicherweise sofort, um wen es sich handelt.

In den vergangenen Monaten war jedoch herausgekommen, dass auch Privatpersonen die App nutzen durften, ebenso Firmen und Schulen. Die Aufforderungen der sozialen Netzwerke, die ungefragt kopierten Fotos aus seiner Datenbank zu löschen, hat Clearview nicht befolgt. Apple hat Clearviews App mittlerweile gesperrt .

Auch Sicherheitspannen gab es bereits: Ende Februar gab Clearview bekannt, dass Unbekannte sich "unerlaubten Zugang" zur Kundenliste verschafft hätten. Der Anwalt des Start-ups sagte damals, Datenpannen seien eben "Teil des Lebens im 21. Jahrhundert". Zudem fanden Reporter einen ungesicherten Cloudspeicher , in dem unter anderem der Code für Clearviews Android-Version seiner App lag.

Der Hamburger Datenschutzbeauftragte Johannes Caspar hatte Clearview aufgefordert, eine Reihe von Fragen zum Geschäftsmodell, den Datenquellen sowie dem genauen Umfang der Datenverarbeitung zu beantworten und der Firma dafür bis Mitte dieser Woche Zeit gegeben.

Wie die Pressesprecherin der Behörde dem SPIEGEL am Freitag mitteilte, hat Clearview fristgerecht reagiert. Vor allem habe Clearview geschrieben, "was das Unternehmen nicht tut, etwa dass man keine Daten über Alter, Wohnort etc. sammle. Das Unternehmen ist offenbar der Auffassung, die dortige Verarbeitung personenbezogener Daten falle nicht unter die Datenschutz-Grundverordnung". Caspar will dazu Genaueres wissen, er wird Clearview zunächst weitere Fragen stellen.

pbe