Software::Datenbanken
MongoDB: Tausende Datenbanken offen
Saarbrücker Cybersicherheits-Studenten haben fast 40.000 ungesicherte MongoDB-Instanzen mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet entdeckt. Ursache ist eine falsche Konfiguration vieler Online-Shops und Plattformen, die ihre Dienste auf die freie Lösung aufbauen.
mongodb.org
»Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal«, so Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes und Direktor des Saarbrücker Kompetenzzentrums für IT-Sicherheit (
CISPA). Ende Januar hatten ihn demnach Studenten und CISPA-Mitarbeiter kontaktiert und ihm zahlreiche offene Instanzen der freien
MongoDB-Datenbank gemeldet. Die Lücke, die die Studenten gefunden haben, betrifft laut der
aktuellsten Information von CISPA 39.890 Adressen. Die Datenbanken sollen ohne jegliche Sicherheitsmechanismen arbeiten. »Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind«, so Backes.
Wie die Universitätsverantwortlichen schreiben, erschreckte sie am meisten eine Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefoniebetreibers, die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Laut Aussage der Studenten befanden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden. »Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben«, sagt Backes.
Die Wissenschaftler des CISPA begannen sofort den Hersteller sowie internationale Koordinationsstellen für IT-Sicherheit (CERTs) zu kontaktieren. Zudem wurde auch die französische Datenschutzbehörde »Commission nationale de l'informatique et des libertés« informiert und das Bundesamt für Sicherheit in der Informationstechnik. »Wir hoffen auch, dass der Hersteller von MongoDB unsere Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt«, so Backes. Denn halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet.
){kind=small}
