MongoDB – 40.000 unsichere Installationen im Web

Wer als Internet Service Provider Kundendaten oder als Online-Händler Zahlungsinformationen abspeichert, sollte besser seine MongoDB-Datenbank richtig konfigurieren. Studenten der Universität des Saarlandes konnten auf insgesamt 40.000 Datenbanken, die mit dem Web verbunden sind, Daten auslesen und verändern.

Auch aus Deutschland und Frankreich stammen die insgesamt 40.000 unsicheren Datenbanken, die die Studenten der Universität des Saarlandes jetzt im Internet aufgespürt haben. Die Studenten für Cybersicherheit und Informatik waren in der Lage mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern nicht nur abzurufen, sondern sogar zu verändern. Wie das Saarbrücker Kompetenzzentrum für IT-Sicherheit (CISPA) mitteilt, haben sich die Betreiber der Datenbanken bei der Installation zwar weitgehend an die die Leitfäden gehalten jedoch einige entscheidende Details nicht beachtet. Die Folge: Daten stehen schutzlos im Internet. Laut CISPA wurden Hersteller und Datenschützer bereits informiert.MongoDB

“Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal”, erklärt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes sowie Direktor des CISPA, in einer Pressemitteilung. In einem Dokument (PDF) zeigen die Forscher die Schritte auf über die die Datenbank sicher konfiguriert werden kann. Die Studenten und CISPA-Mitarbeiter Kai Greshake, Eric Petryka und Jens Heyens hätten Backes Ende Januar diesbezüglich kontaktiert. Heyens studiert Cybersicherheit an der Universität des Saarlandes, seine beiden Kommilitonen werden sich im kommenden Semester auf das im Wintersemester 2014 neu gestartete Studienfach spezialisieren. Die Schwachstelle, die die drei Studenten entdeckt haben, betrifft der aktuellsten Information der CISPA zufolge insgesamt 39.890 Datenbestände.

“Die Datenbanken arbeiten darunter ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind”, führt Backes weiter aus. Bei den Datenbanken handele es sich um Systeme vom Typ MongoDB – eine der am weitesten verbreiteten, kostenlos erhältlichen Open-Source-Datenbanken. Laut CISPA bauen darauf “Millionen von Online-Shops und Plattformen” weltweit ihre Dienste auf.

Die Studenten hätten testweise eine bekannte Suchmaschine nach MongoDB-Servern- und Diensten abgesucht, die mit dem Internet verbunden sind. Auf diese Weise fanden sie laut CISPA die IP-Adressen, unter denen Unternehmen die Datenbanken ungeschützt betreiben. Als die Studenten unter der jeweiligen IP-Adresse die gefundenen MongoDB-Datenbanken aufriefen, seien sie überrascht gewesen, da der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen sei: “Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein”, kommentiert Backes. Binnen weniger Minuten hätten die Studenten die Anfälligkeit auch bei einer Vielzahl anderer Datenbanken ausgemacht.

Am offensichtlichsten sei die Lücke in der Kundendatenbank eines französischen, börsennotierten Internetdienstanbieters und Mobilfunkanbieters gewesen, die Adressen und Telefonnummern von rund acht Millionen Franzosen vorhalte. Laut Aussage der Studenten befanden sich darunter auch eine halbe Million deutscher Adressen.

Die Datenbank eines deutschen Online-Händlers hätten sie einschließlich der darin vermerkten Zahlungsinformationen ebenso ungesichert vorgefunden. “Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben”, erläutert Backes.

Die Wissenschaftler des CISPA begannen eigenen Angaben zufolge daher sofort damit, den Hersteller sowie internationale Koordinationsstellen für IT-Sicherheit (CERTs) zu kontaktieren. Außerdem hätten sie die französische Datenschutzbehörde “Commission nationale de l’informatique et des libertés” sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. “Wir hoffen auch, dass der Hersteller von MongoDB unsere Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt”, so Backes.

[mit Material von Rainer Schneider, ITespresso.de]