Sicherheitslücke Daten von Millionen Kunden stehen ungesichert im Netz

Unter Web-Entwicklern ist die kostenlose Datenbank MongoDB populär. Doch oft ist sie falsch konfiguriert, haben Sicherheitsexperten festgestellt. Vertrauliche Daten würden deshalb oft für jedermann lesbar online stehen.

Netzwerkkabel an einem Server: Zigtausende Datenbanken unzureichend gesichert
DPA

Netzwerkkabel an einem Server: Zigtausende Datenbanken unzureichend gesichert


Studenten aus Saarbrücken haben eine schwerwiegende Sicherheitslücke im Internet entdeckt. "Jedermann konnte mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder gar verändern", teilte die Universität Saarbrücken am Dienstag mit. Ursache sei eine falsch konfigurierte frei verfügbare Datenbank-Software, auf der weltweit Millionen von Online-Shops und andere Angebote ihre Dienste aufbauen.

Die Lücke betrifft nach Erkenntnissen der Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) knapp 40.000 Datenbanken. Bei dem falsch implementierten Programm handelt es sich um die populäre Datenbank MongoDB, die als offene Software kostenlos verwendet werden kann. "Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet", erklärten die Saarbrücker Forscher. Das Kompetenzzentrum habe Hersteller und Datenschützer informiert.

Die Datenbank wird von der gleichnamigen Firma MongoDB entwickelt, die mit US-Hauptquartieren in New York und Palo Alto sowie einer Zentrale in der irischen Hauptstadt Dublin international aktiv ist. MongoDB verdient sein Geld mit Serviceleistungen für über 2000 Großkunden. Im vergangenen Januar hat das Unternehmen von Investoren eine Finanzspritze in Höhe von 80 Millionen Dollar für die Umsetzung einer internationalen Wachstumsstrategie erhalten.

"Jeder kann dort rein"

"Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal", erklärte Informatik-Professor Michael Backes, Direktor des CISPA. Die Lücke betreffe eine hohe Anzahl von Datenbanken, die im Internet ohne jegliche Schutzmechanismen zu erreichen seien. Drei CISPA-Studenten hätten über eine Suchmaschine nach MongoDB-Servern und Diensten gesucht. Bei vielen Suchtreffern sei der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen. "Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein", erklärte Backes.

Zu den betroffenen Websites gehörte demnach auch die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefonie-Betreibers, die die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Laut Aussage der Studenten befinden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Online-Händlers hätten sie, inklusive Zahlungsinformationen, ebenfalls ungesichert vorgefunden.

mak/dpa

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
zum Forum...
Sagen Sie Ihre Meinung!

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.