http://www.faz.net/-gy9-7zm10
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER

Veröffentlicht: 10.02.2015, 10:00 Uhr

Sicherheitslücke entdeckt Millionen Kundendaten im Internet frei zugänglich

Die Universität des Saarlandes ist auf eine hochgefährliche Sicherheitslücke im Internet gestoßen: Millionen Kundendaten konnten wegen eines Fehlers in einer Datenbank-Software gelesen und manipuliert werden. Für Kriminelle eine Einladung.

von
© Jens Heyens, Kai Greshake, Eric Petryka, Universität des Saarlandes, CISPA So verteilen sich die offenen MongoDB-Datenbanken weltweit

Die Informationen lagen frei im Netz - und einige tun es möglicherweise immer noch. Es geht um 39.890 Datenbanken. Viele Millionen Kundendaten sind betroffen. Mit etwas Glück und wenig Wissen könnte jeder auf die Datensätze zugreifen, sie abgreifen und nach Belieben verändern. Es genügt, die IP-Adresse der Datenbank zu kennen, um sie auslesen zu können.

Marco Dettweiler Folgen:

Drei Studenten des CISPA in Saarbrücken entdeckten den Fehler eher zufällig. Kai Greshake, Eric Petryka und Jens Heyens studieren am Kompetenzzentrum für IT-Sicherheit an der Universität des Saarlandes. Vor etwa zwei Wochen probierten sie wegen ihrer Forschungsarbeit auf Geräte und Dienste spezialisierte Suchmaschinen aus.

Dabei stießen sie auf einen Konfigurationsfehler bei vielen Installationen der Open-Source-Datenbank „MongoDB“. Wenn ein Administrator die Default-Einstellungen übernimmt und ohne weitere Sicherheitsvorkehrungen den Netzwerk-Zugriff für die MongoDB aktiviert, können die Daten bereits von außen zugänglich sein. Alles was man braucht, ist die IP-Adresse.

Aus für alte Postleitzahlen im Internet © dpa Vergrößern Die IP-Adresse genügt, um bei falsch konfigurierten MongoDB-Datenbanken die Informationen lesen zu können

Die Studenten berichten in ihrer Dokumentation, dass ein Angreifer nur einen Port-Scan starten müsse. Dann sucht man im Internet nach Datenbanken, die einen Zugang von Außen über eine fest definierte Tür zulassen. Weil die Datenbanken wohl alle unter dem gleichen Port zugänglich sind, könnte man diesen Scan gezielt durchführen. Das sei „leicht“ und könne in „Stunden“ erreicht werden, schreiben die Studenten in ihrem Bericht. Selbst wenn man weniger Erfahrung mit Computern habe, gebe es die Möglichkeit spezialisierte Suchmaschinen zu nutzen. Um an die IP-Adressen zu gelangen, ist also keine aufwendige Programmierarbeit nötig.

In Absprache mit dem Direktor des CISPA, Michael Backes, und nach einer juristischen Abklärung suchten sich die Studenten einen der 40.000 Datenbanken aus, um ihre Hypothese bestätigen zu können. Dabei nutzen sie zunächst ein übliches Verfahren (Handshake), um sicherzustellen, dass sie eine größere Datenbank erwischen. Rechtlich wäre es kritisch, in eine größere Anzahl von Datenbanken zu schauen, daher beschränkten sich die Studenten auf die Validierung ihrer Hypothese. Und allein in dieser Datenbank waren zirka acht Millionen Einträge frei zugänglich. Es seien die Kundendaten eines „französischen börsennotierten Internetdiensteanbieter und Mobiltelefonbetreibers“ gewesen. Zu sehen waren Name, Adresse, E-Mail, Telefonnummer. Davon waren eine halbe Million Daten von deutschen Kunden.

Mehr zum Thema

Michael Backes, Professor für IT-Sicherheit und Kryptografie, geht davon aus, dass es sich nicht um die größte Datenbank handelt, die gefährdet ist. Zudem sei „Deutschland massiv betroffen“, so der Direktor des CISPA gegenüber FAZ.NET. Man könne das an der Struktur der IP-Adressen erkennen. Aus statistischen Gründen müsse man annehmen, dass auch Datenbanken mit dutzenden Millionen Kunden darunter seien. Und unter den Online-Shops und Plattformen, die die kostenlose Open-Source-Software MongoDB nutzen, seien wahrscheinlich auch sehr bekannte. Die Datenbank sei die beliebteste unter den „NoSQL-Datenbanken“ und somit ein „klassisches Backend“, so Backes. Dokumentenorientierte Datenbanken sind nicht so verbreitet wie SQL. Dennoch arbeiten viele bekannte Unternehmen in irgendeiner Weise mit MongoDB. Darunter sind auch Ebay, Expedia, Otto-Versand, SAP, Springer, Disney, Foursquare, MTV Networks und die „New York Times“.

1 | 2 Nächste Seite   |  Artikel auf einer Seite
 

Hier können Sie die Rechte an diesem Artikel erwerben

Weitere Empfehlungen
Fehler in der Software Zehntausenden Studenten droht Bafög-Verspätung

Seit dem ersten August gibt es höhere Bafög-Sätze und Freibeträge. Doch eine gängige Bearbeitungs-Software kennt diese Neuerungen nicht. Deshalb könnten viele Studenten zum Semesterstart erst einmal ganz ohne Geld dastehen. Mehr

24.08.2016, 16:08 Uhr | Beruf-Chance
Hacken für den guten Zweck Kopfgeldjagd im Internet

Computerhacker bedrohen die Welt, so die vorherrschende Meinung. Hacker können das Internet aber auch sicherer machen. Dann nämlich, wenn sie Schwachstellen aufspüren, bevor sie andere entdecken. Unternehmen zahlen Hackern inzwischen viel Geld dafür. Mehr

18.08.2016, 19:14 Uhr | Wirtschaft
Wahlkampf in Amerika Hacker veröffentlicht Telefonnummern demokratischer Abgeordneter

Die Veröffentlichung von internen Dokumenten der Demokraten hatten zum Rücktritt der Parteivorsitzenden geführt. Nun legt der Hacker mit privaten Telefonnummern und Mail-Adressen nach. Mehr

13.08.2016, 15:19 Uhr | Politik
Demonstrationen in Lima Straßenschlachten zwischen Studenten und Polizei in Peru

Fliegende Steine auf der einen, Tränengas und Gummigeschossen auf der anderen Seite - als peruanische Studenten in der Hauptstadt gegen Korruption an Universitäten demonstrierten, kam es zu Straßenkämpfen mit der Polizei. Mehr

09.08.2016, 15:07 Uhr | Gesellschaft
Kreativität in der Küche Palmen zum Frühstück

Die ständig runden Pfannkuchen sind Ihnen zu langweilig? Das morgendliche Frühstück soll mal ganz anders aussehen? Die Pancake-Künstlerin Christine Sinnwell-Backes verrät die besten Tricks. Mehr Von Lisa Höfer

20.08.2016, 08:30 Uhr | Stil

Vermessen

Von Georg Küffner

Die Störungsstelle der Telekom will sich per SMS melden. Doch das Telefon ist tot, und mobil geht wegen der Lage im Funkschatten auch nicht. Und nun? Mehr 1