Categories: Datenbank

Saarbrücker Studenten entdecken tausende ungesicherte Datenbanken im Netz

Studenten der Universität des Saarlandes haben einen häufigen Konfigurationsfehler bei MongoDB aufgedeckt, durch den tausende Datenbanken ungesichert im Internet standen. Theoretisch konnte dadurch jedermann Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern online abrufen oder sogar verändern, wie das Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) mitteilt.

Die drei Studenten der Cybersicherheit und Informatik waren in der Lage, den Fehler bei tausenden Online-Datenbanken unter anderem auch aus Deutschland und Frankreich nachzuweisen. Auf der freien NoSQL-Datenbank MongoDB bauen weltweit Millionen Onlineshops und Plattformen ihre Dienste auf. „Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet“, so das CISPA. Es hat bereits Hersteller, internationale Koordinationsstellen für IT-Sicherheit (CERTs) und Datenschutzbehörden informiert, die sich um die Beseitigung des Problems kümmern. Noch sind allerdings viele Datenbanken unzureichend geschützt.

„Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, erklärt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes und Direktor des CISPA. Ende Januar hatten ihn die Studenten und CISPA-Mitarbeiter Kai Greshake, Eric Petryka und Jens Heyens über die Lücke unterrichtet, die nach aktuellem Erkenntnisstand 39.890 IP-Adressen betrifft. „Die Datenbanken arbeiten darunter ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind“, so Backes. Offenbar haben die zuständigen Administratoren aufgrund einer lückenhaften Dokumentation essentielle Sicherheitsfunktionen nicht aktiviert.

Die Studenten stolperten eher zufällig über die ungesicherten Datenbanken, als sie testweise eine Suchmaschine nach mit dem Internet verbundenen MongoDB-Servern und -Diensten befragten. Auf diese Weise fanden sie die IP-Adressen, unter denen Unternehmen die Datenbanken ungeschützt betrieben. Als die Studenten unter der jeweiligen IP-Adresse die gefundenen MongoDB-Datenbanken aufriefen, stellten sie überrascht fest, dass der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert war. „Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein“, erklärt Backes. Innerhalb von wenigen Minuten hätten die Studenten diesen gefährlichen Zustand auch bei einer Vielzahl anderer Datenbanken vorgefunden.

Die Saarbrücker Informatik-Studenten Kai Greshake, Eric Petryka und Jens Heyens (v.l.n.r.) haben die unzureichend abgesicherten MongoDB-Datenbanken im Netz entdeckt (Bild: Universität des Saarlandes).

Darunter befand sich beispielsweise auch die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobilfunkproviders, die Adressen und Telefonnummern von rund acht Millionen Franzosen sowie eine halbe Million deutscher Adressen enthielt. Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen war ebenfalls frei zugänglich. „Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben“, sagt Backes.

Eine englischsprachige Dokumentation (PDF) der Forschungsergebnisse sowie eine Anleitung zur sicheren Konfiguration von MongoDB findet sich zum Download auf der CISPA-Website. Wer selbst einen MongoDB-Server betreibt, sollte überprüfen, ob er von außen über den Standard-TCP-Port 27017 erreichbar ist. Wenn dies der Fall ist, sollten zusätzliche Sicherheitsmaßnahmen eingerichtet werden, wie eine Zugangssperre für unautorisierte Nutzer oder eine Beschränkung des Datenbank-Zugriffs auf die IP-Adresse des eigenen Webservers. Backes: „Wir hoffen, dass der Hersteller von MongoDB unsere Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt.“

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

7 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago