Ein Authentifizierungsfehler in der freien NoSQL-Datenbank MongoDB machte Microsofts mobile Karriere-Website anfällig für Angriffe. Theoretisch konnte darüber schädlicher HTML-Code ausgeliefert werden, wie es im MacKeeper-Blog heißt. Inzwischen wurde die Lücke geschlossen.
Mögliche Folgen waren neben Wasserloch-Angriffen auch Browser-Exploits und Phishing-Kampagnen, die theoretisch über die Datenbank an Jobsuchende ausgeliefert werden konnten. Zusätzlich wurden die Zugangsdaten von Microsoft-Angestellten mit Zugriff auf die Datenbank offengelegt.
Microsoft war aber warhscheinlich nicht das einzige Unternehmen, dass von dem Authentifizierungsfehler in der MongoDB-Datenbank betroffen war. Screenshots der offengelegten Daten deuten darauf hin, dass auch die Hotelketten Ritz und Marriot dem Bug zum Opfer gefallen sein könnten.
Schon zum 5. Februar war die Schwachstelle beseitigt worden. Punchkick Interactive soll innerhalb einer Stunde reagiert haben, nachdem ihm und Microsoft das Problem gemeldet worden war. Das MacKeeper-Team lobt das Vorgehen als „exzellente Reaktion auf eine Sicherheitsverletzung“. Zugleich merkt es aber an: „Die schlechte Nachricht ist, dass diese Backend-Datenbank in den letzten Wochen offen im Internet stand und keine Authentifizierung für den Zugriff benötigte.“
Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.
Die Verantwortung liegt hier nicht bei Microsoft, sondern bei dem für die Verwaltung der Mobilplattform und des Backend-Systems zuständigen Dienstleisters. Der Vorfall macht aber deutlich, dass ein schwaches Glied in der Kette jedes mit einem Dienst verbundenes Unternehmen betreffen kann.
Schon im Februar 2015 hatten Studenten der Universität des Saarlandes einen häufigen Konfigurationsfehler bei MongoDB aufgedeckt, durch den tausende Datenbanken ungesichert im Internet standen. Theoretisch konnte dadurch jedermann Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern online abrufen oder sogar verändern. Im März letzten Jahres warnte dann Trend Micro vor einer Zero-Day-Lücke im kostenlosen „PHP MongoDB Administration Tool“, die es Angreifern ermöglichte, per Fernzugriff ohne Authentifizierung die Kontrolle über einen MongoDB-Server zu übernehmen und beliebigen Code auszuführen.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…