Drei Studenten der Cybersicherheit und Informatik an der Universität des Saarlandes haben bei tausenden Online-Datenbanken des Typs MongoDB einen schwerwiegenden Fehler nachgewiesen. Das meldet das Saarbrücker Kompetenzzentrum für IT-Sicherheit (CISPA) am Dienstag. Aufgrund des Fehlers, so heißt es, konnte jedermann “mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder verändern.”
Schuld sei eine falsch konfigurierte, frei verfügbare Datenbank, die weltweit von Millionen von Online-Shops und Web-Plattformen genutzt werde. Darunter auch in Deutschland. Die Daten der Nutzer stünden schutzlos im Internet, wenn sich die Betreiber bei der Installation der Datenbank blind an den Leitfaden halten würden und nicht wichtige Details bedenken würden.
“Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal”, so Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes und Direktor des CISPA. Die Lücke betrifft laut der Analyse der Studenten 39.890 Adressen. Die darüber abrufbaren Datenbanken würden ohne jegliche Sicherheitsmechanismen arbeiten. “Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind“, warnt Backes.
Die IP-Adressen der betroffenen Datenbanken ermittelten die Studenten über eine bekannte Suchmaschine nach MongoDB-Servern und Diensten. Als die Studenten die gefundenen MongoDB-Datenbanken aufriefen, stellten sie fest, dass der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert war.
“Am meisten erschreckte die Studenten die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefoniebetreibers, die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt”, heißt es in der Mitteilung der Universität. Laut Aussage der Studenten befanden sich darunter auch eine halbe Million deutscher Adressen.
Außerdem fanden die Studenten auch eine ungesicherte Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen. Die in dieser Datenbank gespeicherten Informationen hätten für mögliche Identitätsdiebstähle ausgereicht.
Die Studenten haben ein PDF-Dokument erstellt, in dem das Ergebnis der Forschung nachgelesen werden kann. Außerdem finden sich in dem Dokument auch eine Anleitung zur sicheren Konfiguration von MongoDB.
“Wir hoffen auch, dass der Hersteller von MongoDB unsere Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt”, so Backes.
Autor: Panagiotis Kolokythas, Chefredakteur
Panagiotis "Takis" Kolokythas schreibt seit über 20 Jahren News, Ratgeber und Tipps zu fast allen IT-Themen.