Unsichere MongoDB-Konfiguration bei 40.000 Online-Datenbanken

Millionen Kundendaten sind offen zugänglich

| Autor / Redakteur: Thomas Drilling / Nico Litzel

Das Studenten des CISPA haben entdeckt, dass Millionen Datensätze in MongoDB frei zugänglich sind.
Das Studenten des CISPA haben entdeckt, dass Millionen Datensätze in MongoDB frei zugänglich sind. (Bild: CISPA)

Laut einer Meldung des Kompetenzzentrums für IT-Sicherheit (CISPA) in Saarbrücken haben drei seiner Studenten rund 40.000 ungeschützte, auf MongoDB basierende Online-Datenbanken in Deutschland und Frankreich ausfindig gemacht.

Drei Studenten des Center for IT-Security, Privacy and Accountability (CISPA) in Saarbrücken haben nach Angaben des CISPA nach zeigen können, dass knapp 40.000 Online-Datenbanken in Deutschland und Frankreich nahezu völlig ungeschützt zugänglich sind. Demnach wäre jeder in der Lage gewesen, online auf mehreren Millionen Kundendaten zuzugreifen, einschließlich Namen, Anschriften und E-Mails-Adressen.

Falsch konfigurierte MongoDB-Datenbanken

Die Ursache läge in allen Fallen in der falsch konfigurierte Open-Source-Datenbank MongoDB, auf der Millionen Online-Shops und Plattformen aus aller Welt ihre Dienstleistungen stützen. Wenn die Betreiber beim Setup von MongoDB blind auf die Standardwerte des Installationsprozesses vertrauten ohne entscheidenden Details beachten, seien die Daten online völlig ungeschützt zugänglich.

Laut Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes und Direktor des CISPA Saarland, handele es sich bei der Entdeckung keineswegs um einen schwerwiegenden Bug, nichtsdestotrotz seien die Folgen der Übernahme einer laschen Default-Konfiguration katastrophal. Michael Backes weiter: „Die Datenbanken sind, ohne durch irgendeine Schutzmaßnahmen geschützt zu sein, online zugänglich. Nutzer haben sogar die Berechtigungen zum Aktualisieren und Ändern. Daher gehen wir davon aus, dass die Datenbanken nicht absichtlich offen gelassen wurden.“ Er selbst sei Ende Januar von den drei Studenten und den CISPA-Mitarbeitern Kai Greshake, Eric Petryka und Jens Heyens kontaktiert worden.

Kundendaten von acht Millionen Franzosen offen zugänglich

Heyens, Cyber-Student an der Universität des Saarlandes, und seine beiden Kommilitonen wollten sich eigentlich im kommenden Semester auf das Thema konzentrieren. Der von den drei Studenten entdeckte Fehler betreffe exakt 39.890 Datenbanken, darunter auch die Kundendatenbank eines französischen Internetdienstanbieters und Mobilfunkbetreibers mit Adressen und Telefonnummern von rund acht Millionen Franzosen. Laut Auskunft der drei Studenten beinhaltet die Datenbank auch eine halbe Million deutscher Adressen. Offenbar aus reiner Neugier hatten die Studenten eine öffentliche Suchmaschine für im Internet zugängliche Server und Dienste befragt und entdeckten auf diese Weise IP-Adressen, die Unternehmen nutzen, um ungeschützte MongoDB-Datenbanken laufen zu lassen.

Öffentliche Bibliothek ohne Bibliothekar

Die drei Studenten waren überrascht als sie feststellten, dass der Zugriff weder gesperrt noch in anderer Weise geschützt war. Eine derart ungeschützte Datenbank sei wie eine öffentliche Bibliothek mit großer offener Eingangstür ohne Bibliothekar, so Backes. Die Studenten ermittelten binnen weniger Minuten auch zahlreichen anderen Datenbanken im ähnlich kritischen Zustand. Neben der Datenbank des französischen Mobilfunkbetreiber fand sich auch die ungeschützte Datenbank eines deutschen Online-Händlers, einschließlich der Zahlungsinformationen. Backes weiter: „Die gespeicherten Daten können später ohne Weiteres zum Stehlen von Identitäten verwendet werden. Selbst wenn so ein Identitätsdiebstahl aufgedeckt sei, müssten sich die Betroffenen über Jahre mit Aufträgen, die die Identitätsdiebe unter ihrem eigenen Namen ausgeführt haben könnten, beschäftigen, meint Backes.

PDF-Leitlinien zur sicheren MongoDB-Konfiguration

Die CISPA Forscher haben unmittelbar die MongoDB Inc., den Hersteller der Open-Source-Datenbank MongoDB, das IT-Notfallteam des CERT, die französische Datenschutzdienststelle „Commission nationale de l'informatique et des libertés“ sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Ferner haben die Wissenschaftler die Ergebnisse der Untersuchung sowie Leitlinien zur sicheren MongoDB-Konfiguration in einem frei downloadbarem PDF veröffentlicht und hoffen, dass auch die Entwickler der MongoDB Inc die Ergebnisse schnellstmöglich an betroffene Unternehmen weiterleiteten.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43202650 / Recht & Sicherheit)