MongoDB-Lücke machte Microsofts Jobportal anfällig für Angriffe

Ein Authentifizierungsfehler in der freien NoSQL-Datenbank MongoDB machte Microsofts mobile Karriere-Website anfällig für Angriffe. Theoretisch konnte darüber schädlicher HTML-Code ausgeliefert werden, wie es im MacKeeper-Blog heißt. Inzwischen wurde die Lücke geschlossen.

Die MongoDB-Datenbank für Microsofts Jobportal wird von dem Dienstleister Punchkick Interactive verwaltet und gepflegt. Das Problem bestand darin, dass die Datenbank selbst nicht schreibgeschützt war und Angreifer so die Möglichkeit hatten, den Datenbank-Code und jede HTML-basierte Stellenanzeige in Microsofts mobiler Jobbörse zu manipulieren.

Mögliche Folgen waren neben Wasserloch-Angriffen auch Browser-Exploits und Phishing-Kampagnen, die theoretisch über die Datenbank an Jobsuchende ausgeliefert werden konnten. Zusätzlich wurden die Zugangsdaten von Microsoft-Angestellten mit Zugriff auf die Datenbank offengelegt.

Microsoft war aber warhscheinlich nicht das einzige Unternehmen, dass von dem Authentifizierungsfehler in der MongoDB-Datenbank betroffen war. Screenshots der offengelegten Daten deuten darauf hin, dass auch die Hotelketten Ritz und Marriot dem Bug zum Opfer gefallen sein könnten.

Schon zum 5. Februar war die Schwachstelle beseitigt worden. Punchkick Interactive soll innerhalb einer Stunde reagiert haben, nachdem ihm und Microsoft das Problem gemeldet worden war. Das MacKeeper-Team lobt das Vorgehen als „exzellente Reaktion auf eine Sicherheitsverletzung“. Zugleich merkt es aber an: „Die schlechte Nachricht ist, dass diese Backend-Datenbank in den letzten Wochen offen im Internet stand und keine Authentifizierung für den Zugriff benötigte.“

ANZEIGE

Die elektronische Signatur auf dem Vormarsch – Wie Unternehmen Prozesse verschlanken und Geld sparen können

Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.

Die Verantwortung liegt hier nicht bei Microsoft, sondern bei dem für die Verwaltung der Mobilplattform und des Backend-Systems zuständigen Dienstleisters. Der Vorfall macht aber deutlich, dass ein schwaches Glied in der Kette jedes mit einem Dienst verbundenes Unternehmen betreffen kann.

Schon im Februar 2015 hatten Studenten der Universität des Saarlandes einen häufigen Konfigurationsfehler bei MongoDB aufgedeckt, durch den tausende Datenbanken ungesichert im Internet standen. Theoretisch konnte dadurch jedermann Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern online abrufen oder sogar verändern. Im März letzten Jahres warnte dann Trend Micro vor einer Zero-Day-Lücke im kostenlosen „PHP MongoDB Administration Tool“, die es Angreifern ermöglichte, per Fernzugriff ohne Authentifizierung die Kontrolle über einen MongoDB-Server zu übernehmen und beliebigen Code auszuführen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

7 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

8 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

9 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

9 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

11 Stunden ago