Riesige Sicherheitslücke in fast 40.000 Datenbanken

Wie eine weit offene Eingangstür: Bei einer millionenfach verbreiteten Internet-Datenbank gibt ein einfacher Fehler bei der Installation praktisch jedermann uneingeschränkten Zugang. Eindringlinge könnten die enthaltenen Daten nicht nur lesen, sondern sogar ändern, warnen deutsche Informatiker. Mehrere Millionen Adressen und Kreditkartendaten könnten betroffen sein.

Unsere Daten im Internet sind nicht so sicher, wie wir es gern hätten – das zeigen immer neue Berichte von Abhörskandalen über gehackte E-Mail-Server bis hin zu massenhaft online gestellten Privatfotos von Prominenten. Auch Kreditkarteninformationen sind offenbar alles andere als anonym.

„Jeder kann dort rein.“

Eine wahrhaft beängstigende Sicherheitslücke haben drei Informatikstudenten der Universität des Saarlandes in Saarbrücken nun entdeckt. Sie hatten testweise im Netz nach Servern und Diensten gesucht, die Datenbanken vom Typ MongoDB verwenden und mit dem Internet verbunden sind. Dabei fanden die Informatiker insgesamt 39.890 Adressen, bei denen gewissermaßen die Türen sperrangelweit offen standen: Durch eine falsche Konfiguration der Datenbanken erhielten sie mühelos Zugang zu allen darin enthaltenen Informationen, darunter Kundendaten wie Adressen, E-Mails und Kreditkartennummern.

„Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür“, erklärt Michael Backes vom Saarbrücker Kompetenzzentrum für IT-Sicherheit (CISPA). „Jeder kann dort rein.“ Die Studenten hatten Backes nach ihrem Fund kontaktiert. Weltweit verwenden Millionen von Online-Shops die frei verfügbare Datenbank. Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet.

Einfacher Fehler gewährt sogar Schreibrechte

Die Informatiker betonen aber, dass letztlich nicht der Hersteller, sondern einzelne Benutzer der Software verantwortlich sind. „Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, erklärt Backes. „Die Datenbanken arbeiten darunter ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind.“

Am erschreckendsten war die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobilfunkbetreibers. Sie enthielt die Adressen und Telefonnummern von rund acht Millionen Franzosen sowie auch eine halbe Million deutscher Adressen, berichten die Studenten.

Daten reichen für Identitätsdiebstahl

Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen fanden sie ebenfalls ungesichert vor. „Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen“, sagt Backes. „Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben.“

Die Wissenschaftler des CISPA kontaktierten daher sofort den Hersteller der unsicheren Datenbank sowie internationale Koordinationsstellen für IT-Sicherheit. Sie informierten auch die französische Datenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnik, und erwarten schnelle Gegenmaßnahmen: „Wir hoffen auch, dass der Hersteller von MongoDB unsere Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt“, so Backes.

Eine Anleitung für die sichere Konfiguration von MongoDB hat das CISPA zum Download bereitgestellt.

(Universität des Saarlandes, 11.02.2015 – AKR)