10. Februar 2015 - MongoDB

40.000 Datenbanken offen wie ein Scheunentor

Drei Studenten haben Zehntausende unzureichend konfigurierte Datenbanken aufgespürt, die mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern enthalten.

Die Saarbrücker Informatik-Studenten Kai Greshake, Eric Petryka und Jens Heyens (v.l.n.r.) Die Saarbrücker Informatik-Studenten Kai Greshake, Eric Petryka und Jens Heyens (v.l.n.r.) (Bild: Universität des Saarlandes).

Drei Studenten der Cybersicherheit und Informatik des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) haben 39.890 Adressen von Datenbanken im Internet eruiert, die aufgrund von Konfigurationsfehlern ohne jegliche Sicherheitsmechanismen arbeiten. Dabei handelt sich um den Typ MongoDB, eine der am weitesten verbreiteten, kostenlos erhältlichen Datenbanken, die von zahlreichen Unternehmen eingesetzt wird.

Der Fehler sei nicht kompliziert, seine Wirkung ist jedoch katastrophal, so Direktor des CISPA Prof. Michael Backes. Da die Datenbanken sogar Schreibrechte gewährten, man daher die Daten verändern könnte, nehme man an, dass die Datenbanken ohne Absicht offen sind. „Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein“, so Backes weiter.

 Am meisten erschreckte die Studenten die Kundendatenbank eines französischen börsennotierten Internet-Dienstanbieters und Mobiltelefoniebetreibers, die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Laut Aussage der Studenten befanden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden.

Das CISPA habe Hersteller und Datenschützer informiert. Gleichzeitig hat man eine Dokumentation der Recherche sowie eine Anleitung zur sicheren Konfiguration von MongoDB im Netz veröffentlicht.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln