Categories: Data

MongoDB – 40.000 unsichere Installationen im Web

Auch aus Deutschland und Frankreich stammen die insgesamt 40.000 unsicheren Datenbanken, die die Studenten der Universität des Saarlandes jetzt im Internet aufgespürt haben. Die Studenten für Cybersicherheit und Informatik waren in der Lage mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern nicht nur abzurufen, sondern sogar zu verändern. Wie das Saarbrücker Kompetenzzentrum für IT-Sicherheit (CISPA) mitteilt, haben sich die Betreiber der Datenbanken bei der Installation zwar weitgehend an die die Leitfäden gehalten jedoch einige entscheidende Details nicht beachtet. Die Folge: Daten stehen schutzlos im Internet. Laut CISPA wurden Hersteller und Datenschützer bereits informiert.

“Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal”, erklärt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes sowie Direktor des CISPA, in einer Pressemitteilung. In einem Dokument (PDF) zeigen die Forscher die Schritte auf über die die Datenbank sicher konfiguriert werden kann. Die Studenten und CISPA-Mitarbeiter Kai Greshake, Eric Petryka und Jens Heyens hätten Backes Ende Januar diesbezüglich kontaktiert. Heyens studiert Cybersicherheit an der Universität des Saarlandes, seine beiden Kommilitonen werden sich im kommenden Semester auf das im Wintersemester 2014 neu gestartete Studienfach spezialisieren. Die Schwachstelle, die die drei Studenten entdeckt haben, betrifft der aktuellsten Information der CISPA zufolge insgesamt 39.890 Datenbestände.

“Die Datenbanken arbeiten darunter ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind”, führt Backes weiter aus. Bei den Datenbanken handele es sich um Systeme vom Typ MongoDB – eine der am weitesten verbreiteten, kostenlos erhältlichen Open-Source-Datenbanken. Laut CISPA bauen darauf “Millionen von Online-Shops und Plattformen” weltweit ihre Dienste auf.

Die Studenten hätten testweise eine bekannte Suchmaschine nach MongoDB-Servern- und Diensten abgesucht, die mit dem Internet verbunden sind. Auf diese Weise fanden sie laut CISPA die IP-Adressen, unter denen Unternehmen die Datenbanken ungeschützt betreiben. Als die Studenten unter der jeweiligen IP-Adresse die gefundenen MongoDB-Datenbanken aufriefen, seien sie überrascht gewesen, da der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen sei: “Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein”, kommentiert Backes. Binnen weniger Minuten hätten die Studenten die Anfälligkeit auch bei einer Vielzahl anderer Datenbanken ausgemacht.

Am offensichtlichsten sei die Lücke in der Kundendatenbank eines französischen, börsennotierten Internetdienstanbieters und Mobilfunkanbieters gewesen, die Adressen und Telefonnummern von rund acht Millionen Franzosen vorhalte. Laut Aussage der Studenten befanden sich darunter auch eine halbe Million deutscher Adressen.

Die Datenbank eines deutschen Online-Händlers hätten sie einschließlich der darin vermerkten Zahlungsinformationen ebenso ungesichert vorgefunden. “Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben”, erläutert Backes.

Die Wissenschaftler des CISPA begannen eigenen Angaben zufolge daher sofort damit, den Hersteller sowie internationale Koordinationsstellen für IT-Sicherheit (CERTs) zu kontaktieren. Außerdem hätten sie die französische Datenschutzbehörde “Commission nationale de l’informatique et des libertés” sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. “Wir hoffen auch, dass der Hersteller von MongoDB unsere Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt”, so Backes.

[mit Material von Rainer Schneider, ITespresso.de]

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Amazon Web Services führt virtuelle Ubuntu-Desktops ein

Sie basieren auf Ubuntu Pro 22.04 LTS. Amazon verlangt ab 23 Dollar pro Monat für…

7 Stunden ago

Las Vegas bekommt größtes privates 5G-Netzwerk in den USA

5G-Netzwerk soll Innovationen vorantreiben und als ein Modell für Städte und Unternehmen weltweit dienen.

8 Stunden ago

IT-Entscheidungen: Drum prüfe, wer sich ewig bindet

Internationale Studie von Gartner zeigt: Unternehmen bedauern oft ihre Kaufentscheidungen für IT-Lösungen.

8 Stunden ago

Deutsche Telekom unterstützt Ethereum Blockchain

Bereitstellung von Validierungsknoten für Ethereum-Netzwerk für Betrieb und Sicherheit von Blockchains.

9 Stunden ago

Gartner-Umfrage: Automatisierungsgrad steigt bis 2025 deutlich an

70 Prozent der Unternehmen werden bis 2025 Infrastruktur-Automatisierung implementieren.

9 Stunden ago

Sind synthetische Daten eine Alternative zu anonymisierten Daten?

"Traditionelle Verfahren der Anonymisierung funktionieren nicht mehr so gut", sagt Dr. Tobias Hann, CEO von…

10 Stunden ago