Studenten am Lehrstuhl „Cybersicherheit und Informatik“ der Universität Saarbrücken entdeckten kürzlich eine Sicherheitslücke in der weit verbreiteten Datenbank: MongoDB Jedermann konnte so mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder gar verändern. Dies haben laut Angaben des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) drei seiner Studenten der Cybersicherheit und Informatik bei tausenden Online-Datenbanken unter anderem auch aus Deutschland und Frankreich nachgewiesen. Ursache ist eine falsch konfigurierte, frei verfügbare Datenbank, auf der weltweit Millionen von Online-Shops und Plattformen ihre Dienste aufbauen. Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet. Das CISPA hat bereits Hersteller und Datenschützer informiert.
Erschreckend: Eine der offenen Datenbanken gehörte zu einem großen französischen Mobilfunk-Provider, welche die „Adressen und Telefonnummern von rund acht Millionen Franzosen“ enthielt.
Die Studenten entdeckten weiterhin rund eine halbe Million deutsche Datensätze und Adressen in solch ungeschützten Datenbanken, auch deutsche Online-Shops mit darauf enthaltenen Kreditkarten-Informationen wurden durch die Studenten des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) entdeckt
Zu beachten gilt jedoch folgendes: Es handelt sich bei den Instanzen der weit verbreiteten NoSQL-Datenbank MongoDB nicht um eine Sicherheitslücke im eigentlichen Sinne, vielmehr wurde es von deren Administratoren offensichtlich elementar versäumt die entsprechenden Sicherheitsmechanismen welche vorhanden sind zu aktivieren. Wie im Presseblatt der Universität Saarbrücken anhand Ihrer Analyse zurückgeführt werden konnte: – Die meisten Standard-Installationen wurden ohne weitere Sicherheitsmaßnahmen abgeschlossen. Die meisten Distributionen installieren MongoDB im lokalen Modus, dadurch sind weitere Zugriffsbeschränkungen wie Passwörter oder deren Verschlüsselung nicht eingerichtet. Wird nun wie im Falle der Performance die Datenbank auf externe Server ausgelagert und dabei den Zugriff außerhalb des lokalen Netzwerkes aktiviert, wird ohne zusätzliche Schutzmaßnahmen mit diesem Problem konfrontiert.
Weitere Informationen zum Leek:
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!