MongoDB-Lücke machte Microsofts Jobportal anfällig für Angriffe

Ein Authentifizierungsfehler in der freien NoSQL-Datenbank MongoDB machte Microsofts mobile Karriere-Website anfällig für Angriffe. Theoretisch konnte darüber schädlicher HTML-Code ausgeliefert werden, wie es im MacKeeper-Blog heißt. Inzwischen wurde die Lücke geschlossen.

Die MongoDB-Datenbank für Microsofts Jobportal wird von dem Dienstleister Punchkick Interactive verwaltet und gepflegt. Das Problem bestand darin, dass die Datenbank selbst nicht schreibgeschützt war und Angreifer so die Möglichkeit hatten, den Datenbank-Code und jede HTML-basierte Stellenanzeige in Microsofts mobiler Jobbörse zu manipulieren.

Mögliche Folgen waren neben Wasserloch-Angriffen auch Browser-Exploits und Phishing-Kampagnen, die theoretisch über die Datenbank an Jobsuchende ausgeliefert werden konnten. Zusätzlich wurden die Zugangsdaten von Microsoft-Angestellten mit Zugriff auf die Datenbank offengelegt.

Microsoft war aber warhscheinlich nicht das einzige Unternehmen, dass von dem Authentifizierungsfehler in der MongoDB-Datenbank betroffen war. Screenshots der offengelegten Daten deuten darauf hin, dass auch die Hotelketten Ritz und Marriot dem Bug zum Opfer gefallen sein könnten.

Schon zum 5. Februar war die Schwachstelle beseitigt worden. Punchkick Interactive soll innerhalb einer Stunde reagiert haben, nachdem ihm und Microsoft das Problem gemeldet worden war. Das MacKeeper-Team lobt das Vorgehen als „exzellente Reaktion auf eine Sicherheitsverletzung“. Zugleich merkt es aber an: „Die schlechte Nachricht ist, dass diese Backend-Datenbank in den letzten Wochen offen im Internet stand und keine Authentifizierung für den Zugriff benötigte.“

ANZEIGE

Die elektronische Signatur auf dem Vormarsch – Wie Unternehmen Prozesse verschlanken und Geld sparen können

Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.

Die Verantwortung liegt hier nicht bei Microsoft, sondern bei dem für die Verwaltung der Mobilplattform und des Backend-Systems zuständigen Dienstleisters. Der Vorfall macht aber deutlich, dass ein schwaches Glied in der Kette jedes mit einem Dienst verbundenes Unternehmen betreffen kann.

Schon im Februar 2015 hatten Studenten der Universität des Saarlandes einen häufigen Konfigurationsfehler bei MongoDB aufgedeckt, durch den tausende Datenbanken ungesichert im Internet standen. Theoretisch konnte dadurch jedermann Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern online abrufen oder sogar verändern. Im März letzten Jahres warnte dann Trend Micro vor einer Zero-Day-Lücke im kostenlosen „PHP MongoDB Administration Tool“, die es Angreifern ermöglichte, per Fernzugriff ohne Authentifizierung die Kontrolle über einen MongoDB-Server zu übernehmen und beliebigen Code auszuführen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

16 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago