Experten warnen vor Sicherheitslücke in MongoDB-Datenbanken

Veröffentlicht: 10.02.2015 | Geschrieben von: Giuseppe Paletta | Letzte Aktualisierung: 10.02.2015

Laut dem Saarbrücker Kompetenzzentrum für IT-Sicherheit finden sich zahlreiche Kundendaten im Internet. Grund ist eine Sicherheitslücke bei MongoDB-Datenbanken.

Sicherheitslücke in MongoDB-Datenbanken.
© Feng Yu - fotolia.com

Gerade heute zum Safer Internet Day haben Informatik-Studenten eine Sicherheitslücke in den bekannten MongoDB-Datenbanken bekannt gemacht. Die Studenten des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) fanden in ihrer Untersuchung knapp 40.000 ungesicherte MongoDB-Datenbanken im Internet. Auch zahlreiche Online-Shops und Plattformen sollen betroffen sein, da sie diese Datenbanken nutzen.

Einfacher Fehler, katastrophale Wirkung

Ursache für die Sicherheitslücke soll laut der Computerwelt die falsche Konfiguration der frei verfügbaren Datenbank MongoDB sein. MongoDB ist eine frei verfügbare Open Source NoSQL-Datenbank, auf der weltweit Millionen Online-Shops und Plattformen ihre eigenen Dienste aufgebaut haben.

„Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, sagte Michael Backes, Professor für Informationssicherheit und Kryptographie an der Universität Saarland. Würden sich die Anwender bei der Einrichtung der MongoDB-Datenbank an die Leitfäden der Betreiber halten und nicht entscheidende Details bedenken, stünden die Daten vieler Kunden schutzlos im Internet.

„Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein“, sagte Backes. Die Studenten konnten nach eigenen Angaben binnen weniger Minuten eine ungesicherte Datenbank eines namentlich nicht genannten Online-Händlers im Netz finden, bei welcher sie Zugriff auf die Namen, Adressen und Zahlungsinformationen der Kunden bekommen hätten.

Kriminelle könnten Identitätsdiebstähle durchführen

Die in diesen durch die Sicherheitslücke öffentlich zugänglichen Datenbanken gespeicherten Daten, reichen für Kriminelle aus, um Identitätsdiebstähle durchzuführen, so Michael Backes. Auch wenn die Sicherheitslücke geschlossen wird, können Kriminelle mit den bereits erworbenen Daten der Kunden Schaden anrichten.

Inzwischen haben die Wissenschaftler den Hersteller von MongoDB informiert, in der Hoffnung dass dieser die Lücke behebt. Die zahlreichen Online-Händler, die auf MongoDB setzen, sollten schnell überprüfen, ob sie von der Sicherheitslücke betroffen sind. In einer PDF erklären die Studenten, wie überprüft werden kann, ob man von der Sicherheitslücke betroffen ist und wie man die Lücke beheben kann.

 

Artikel Weiterempfehlen
Aktualisiert: 10.02.2015
Kategorie: Händler
Veröffentlicht: 10.02.2015

Kommentare  

#1 Walter Timo Panitz 2015-02-11 10:33
Hallo OHN Team,
Hallo User,

nach meiner persönlichen Meinung sollte das einem anständigen Serveradmin nicht passieren, man prüft immer die config.

Das passiert nur wenn man sich, ohne die nötigen Linux Erfahrungen zu besitzen die Applikation via apt-get install installiert und dann, ohne weitere Prüfung nutzt.
In der mongoDB Anleitung
docs.mongodb.org/.../...
ist eigentlich alles enthalten, auch der default Port - den muss man halt einfach mal testen.

Gruß

Timo
itratosTeam
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.
Datenschutz

Verwandte Artikel

MusicLM
Google: Neues Tool MusicLM erstellt Musik per KI
Wordpress-Logo in Binärcode
Massive Angriffswelle auf Wordpress-Seiten mit WooCommerce Payments
Amazon
Amazons überrascht mit Umsatz- und Gewinnplus

Meistgelesene Artikel

Ebay-Logo unter Lupe
Millionenstrafe: Ebay-Mitarbeiter haben Blogger tyrannisiert
Aktuelle Urteile | 12.01.2024
Smartphone zeigt Amazon Seller Account
Seller in Existenzangst: Amazon behält seit Tagen Auszahlungen ein (Update)
Marktplätze | 07.11.2023
Miele-Logo auf Scheibe
Miele zieht sich von Amazon zurück
Marktplätze | 06.02.2024