Millionen Kundendaten sind offen zugänglich

Unsichere MongoDB-Konfiguration bei 40.000 Online-Datenbanken Millionen Kundendaten sind offen zugänglich

12.02.2015 Von Dipl. -Ing. Thomas Drilling

Anbieter zum Thema

Laut einer Meldung des Kompetenzzentrums für IT-Sicherheit (CISPA) in Saarbrücken haben drei seiner Studenten rund 40.000 ungeschützte, auf MongoDB basierende Online-Datenbanken in Deutschland und Frankreich ausfindig gemacht.

Das Studenten des CISPA haben entdeckt, dass Millionen Datensätze in MongoDB frei zugänglich sind.
(Bild: CISPA)

Drei Studenten des Center for IT-Security, Privacy and Accountability (CISPA) in Saarbrücken haben nach Angaben des CISPA nach zeigen können, dass knapp 40.000 Online-Datenbanken in Deutschland und Frankreich nahezu völlig ungeschützt zugänglich sind. Demnach wäre jeder in der Lage gewesen, online auf mehreren Millionen Kundendaten zuzugreifen, einschließlich Namen, Anschriften und E-Mails-Adressen.

Falsch konfigurierte MongoDB-Datenbanken

Die Ursache läge in allen Fallen in der falsch konfigurierte Open-Source-Datenbank MongoDB, auf der Millionen Online-Shops und Plattformen aus aller Welt ihre Dienstleistungen stützen. Wenn die Betreiber beim Setup von MongoDB blind auf die Standardwerte des Installationsprozesses vertrauten ohne entscheidenden Details beachten, seien die Daten online völlig ungeschützt zugänglich.

Laut Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes und Direktor des CISPA Saarland, handele es sich bei der Entdeckung keineswegs um einen schwerwiegenden Bug, nichtsdestotrotz seien die Folgen der Übernahme einer laschen Default-Konfiguration katastrophal. Michael Backes weiter: „Die Datenbanken sind, ohne durch irgendeine Schutzmaßnahmen geschützt zu sein, online zugänglich. Nutzer haben sogar die Berechtigungen zum Aktualisieren und Ändern. Daher gehen wir davon aus, dass die Datenbanken nicht absichtlich offen gelassen wurden.“ Er selbst sei Ende Januar von den drei Studenten und den CISPA-Mitarbeitern Kai Greshake, Eric Petryka und Jens Heyens kontaktiert worden.

Kundendaten von acht Millionen Franzosen offen zugänglich

Heyens, Cyber-Student an der Universität des Saarlandes, und seine beiden Kommilitonen wollten sich eigentlich im kommenden Semester auf das Thema konzentrieren. Der von den drei Studenten entdeckte Fehler betreffe exakt 39.890 Datenbanken, darunter auch die Kundendatenbank eines französischen Internetdienstanbieters und Mobilfunkbetreibers mit Adressen und Telefonnummern von rund acht Millionen Franzosen. Laut Auskunft der drei Studenten beinhaltet die Datenbank auch eine halbe Million deutscher Adressen. Offenbar aus reiner Neugier hatten die Studenten eine öffentliche Suchmaschine für im Internet zugängliche Server und Dienste befragt und entdeckten auf diese Weise IP-Adressen, die Unternehmen nutzen, um ungeschützte MongoDB-Datenbanken laufen zu lassen.

Öffentliche Bibliothek ohne Bibliothekar

Die drei Studenten waren überrascht als sie feststellten, dass der Zugriff weder gesperrt noch in anderer Weise geschützt war. Eine derart ungeschützte Datenbank sei wie eine öffentliche Bibliothek mit großer offener Eingangstür ohne Bibliothekar, so Backes. Die Studenten ermittelten binnen weniger Minuten auch zahlreichen anderen Datenbanken im ähnlich kritischen Zustand. Neben der Datenbank des französischen Mobilfunkbetreiber fand sich auch die ungeschützte Datenbank eines deutschen Online-Händlers, einschließlich der Zahlungsinformationen. Backes weiter: „Die gespeicherten Daten können später ohne Weiteres zum Stehlen von Identitäten verwendet werden. Selbst wenn so ein Identitätsdiebstahl aufgedeckt sei, müssten sich die Betroffenen über Jahre mit Aufträgen, die die Identitätsdiebe unter ihrem eigenen Namen ausgeführt haben könnten, beschäftigen, meint Backes.

PDF-Leitlinien zur sicheren MongoDB-Konfiguration

Die CISPA Forscher haben unmittelbar die MongoDB Inc., den Hersteller der Open-Source-Datenbank MongoDB, das IT-Notfallteam des CERT, die französische Datenschutzdienststelle „Commission nationale de l'informatique et des libertés“ sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Ferner haben die Wissenschaftler die Ergebnisse der Untersuchung sowie Leitlinien zur sicheren MongoDB-Konfiguration in einem frei downloadbarem PDF veröffentlicht und hoffen, dass auch die Entwickler der MongoDB Inc die Ergebnisse schnellstmöglich an betroffene Unternehmen weiterleiteten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

(ID:43202650)