2049227

Studenten finden Millionen ungesicherte Kundendaten

10.02.2015 | 13:17 Uhr | Panagiotis Kolokythas

Millionen von Kundendaten sind aufgrund fehlerhaft konfigurierten MongoDB-Datenbanken frei im Web abrufbar.

Drei Studenten der Cybersicherheit und Informatik an der Universit├Ąt des Saarlandes haben bei tausenden Online-Datenbanken des Typs MongoDB einen schwerwiegenden Fehler nachgewiesen. Das meldet das Saarbr├╝cker Kompetenzzentrum f├╝r IT-Sicherheit (CISPA) am Dienstag. Aufgrund des Fehlers, so hei├čt es, konnte jedermann "mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder ver├Ąndern."

Schuld sei eine falsch konfigurierte, frei verf├╝gbare Datenbank, die weltweit von Millionen von Online-Shops und Web-Plattformen genutzt werde. Darunter auch in Deutschland. Die Daten der Nutzer st├╝nden schutzlos im Internet, wenn sich die Betreiber bei der Installation der Datenbank blind an den Leitfaden halten w├╝rden und nicht wichtige Details bedenken w├╝rden.

"Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal", so Michael Backes, Professor f├╝r Informationssicherheit und Kryptografie an der Universit├Ąt des Saarlandes und Direktor des CISPA. Die L├╝cke betrifft laut der Analyse der Studenten 39.890 Adressen. Die dar├╝ber abrufbaren Datenbanken w├╝rden ohne jegliche Sicherheitsmechanismen arbeiten. "Da man sogar Schreibrechte hat und daher die Daten ver├Ąndern k├Ânnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sindÔÇť, warnt Backes.

Die IP-Adressen der betroffenen Datenbanken ermittelten die Studenten ├╝ber eine bekannte Suchmaschine nach MongoDB-Servern und Diensten. Als die Studenten die gefundenen MongoDB-Datenbanken aufriefen, stellten sie fest, dass der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert war.

"Am meisten erschreckte die Studenten die Kundendatenbank eines franz├Âsischen b├Ârsennotierten Internetdienstanbieters und Mobiltelefoniebetreibers, die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt", hei├čt es in der Mitteilung der Universit├Ąt. Laut Aussage der Studenten befanden sich darunter auch eine halbe Million deutscher Adressen.

Au├čerdem fanden die Studenten auch eine ungesicherte Datenbank eines deutschen Online-H├Ąndlers inklusive Zahlungsinformationen. Die in dieser Datenbank gespeicherten Informationen h├Ątten f├╝r m├Âgliche Identit├Ątsdiebst├Ąhle ausgereicht.

Die Studenten haben ein PDF-Dokument erstellt, in dem das Ergebnis der Forschung nachgelesen werden kann. Au├čerdem finden sich in dem Dokument auch eine Anleitung zur sicheren Konfiguration von MongoDB.

"Wir hoffen auch, dass der Hersteller von MongoDB unsere Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt", so Backes.

Macwelt Marktplatz

2049227