MongoDB – 40.000 Datenbanken ungeschützt im Netz verfügbar
Studenten am Lehrstuhl „Cybersicherheit und Informatik“ der Universität Saarbrücken entdeckten kürzlich ein massives Sicherheitsproblem in Verbindung mit der weit verbreiteten Datenbank MongoDB: Jedermann konnte so mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder gar verändern.
Dies haben laut Angaben des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) drei Studenten der Cybersicherheit und Informatik bei tausenden Online-Datenbanken – unter anderem auch aus Deutschland und Frankreich – nachgewiesen.
Ursache ist eine falsch konfigurierte, frei verfügbare Datenbank, auf der weltweit Millionen von Online-Shops und Plattformen ihre Dienste aufbauen. Halten sich Betreiber bei der Installation blind an Leitfäden und bedenken entscheidende Details nicht, stehen die Daten schutzlos im Internet. Das CISPA hat bereits Hersteller und Datenschützer informiert.
Die Studenten entdeckten weiterhin rund eine halbe Million deutsche Datensätze und Adressen in ungeschützten Datenbanken. Auch deutsche Online-Shops mit darin enthaltenen Kreditkarteninformationen wurden durch die Studenten des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) entdeckt.
Wie im Presseblatt der Universität Saarbrücken anhand der Analyse zurückgeführt werden konnte: Die meisten Standard-Installationen wurden ohne weitere Sicherheitsmaßnahmen abgeschlossen. Viele Distributionen installieren MongoDB im lokalen Modus, dadurch sind weitere Zugriffsbeschränkungen wie Passwörter oder deren Verschlüsselung nicht eingerichtet. Wird nun – etwa aus Performance-Gründen – die Datenbank auf externe Server ausgelagert und dabei der Zugriff außerhalb des lokalen Netzwerkes aktiviert, wird ohne zusätzliche Schutzmaßnahmen mit diesem Problem konfrontiert.