MongoDB-Lücke machte Microsofts Jobportal anfällig für Angriffe

Ein Authentifizierungsfehler in der freien NoSQL-Datenbank MongoDB machte Microsofts mobile Karriere-Website anfällig für Angriffe. Theoretisch konnte darüber schädlicher HTML-Code ausgeliefert werden, wie es im MacKeeper-Blog heißt. Inzwischen wurde die Lücke geschlossen.

Die MongoDB-Datenbank für Microsofts Jobportal wird von dem Dienstleister Punchkick Interactive verwaltet und gepflegt. Das Problem bestand darin, dass die Datenbank selbst nicht schreibgeschützt war und Angreifer so die Möglichkeit hatten, den Datenbank-Code und jede HTML-basierte Stellenanzeige in Microsofts mobiler Jobbörse zu manipulieren.

Mögliche Folgen waren neben Wasserloch-Angriffen auch Browser-Exploits und Phishing-Kampagnen, die theoretisch über die Datenbank an Jobsuchende ausgeliefert werden konnten. Zusätzlich wurden die Zugangsdaten von Microsoft-Angestellten mit Zugriff auf die Datenbank offengelegt.

Microsoft war aber warhscheinlich nicht das einzige Unternehmen, dass von dem Authentifizierungsfehler in der MongoDB-Datenbank betroffen war. Screenshots der offengelegten Daten deuten darauf hin, dass auch die Hotelketten Ritz und Marriot dem Bug zum Opfer gefallen sein könnten.

Schon zum 5. Februar war die Schwachstelle beseitigt worden. Punchkick Interactive soll innerhalb einer Stunde reagiert haben, nachdem ihm und Microsoft das Problem gemeldet worden war. Das MacKeeper-Team lobt das Vorgehen als „exzellente Reaktion auf eine Sicherheitsverletzung“. Zugleich merkt es aber an: „Die schlechte Nachricht ist, dass diese Backend-Datenbank in den letzten Wochen offen im Internet stand und keine Authentifizierung für den Zugriff benötigte.“

Die Verantwortung liegt hier nicht bei Microsoft, sondern bei dem für die Verwaltung der Mobilplattform und des Backend-Systems zuständigen Dienstleisters. Der Vorfall macht aber deutlich, dass ein schwaches Glied in der Kette jedes mit einem Dienst verbundenes Unternehmen betreffen kann.

Schon im Februar 2015 hatten Studenten der Universität des Saarlandes einen häufigen Konfigurationsfehler bei MongoDB aufgedeckt, durch den tausende Datenbanken ungesichert im Internet standen. Theoretisch konnte dadurch jedermann Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern online abrufen oder sogar verändern. Im März letzten Jahres warnte dann Trend Micro vor einer Zero-Day-Lücke im kostenlosen „PHP MongoDB Administration Tool“, die es Angreifern ermöglichte, per Fernzugriff ohne Authentifizierung die Kontrolle über einen MongoDB-Server zu übernehmen und beliebigen Code auszuführen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.