http://www.faz.net/-gy9-7zm10
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER

Veröffentlicht: 10.02.2015, 10:00 Uhr

Sicherheitslücke entdeckt Millionen Kundendaten im Internet frei zugänglich

Die Universität des Saarlandes ist auf eine hochgefährliche Sicherheitslücke im Internet gestoßen: Millionen Kundendaten konnten wegen eines Fehlers in einer Datenbank-Software gelesen und manipuliert werden. Für Kriminelle eine Einladung.

von
© Jens Heyens, Kai Greshake, Eric Petryka, Universität des Saarlandes, CISPA So verteilen sich die offenen MongoDB-Datenbanken weltweit

Die Informationen lagen frei im Netz - und einige tun es möglicherweise immer noch. Es geht um 39.890 Datenbanken. Viele Millionen Kundendaten sind betroffen. Mit etwas Glück und wenig Wissen könnte jeder auf die Datensätze zugreifen, sie abgreifen und nach Belieben verändern. Es genügt, die IP-Adresse der Datenbank zu kennen, um sie auslesen zu können.

Marco Dettweiler Folgen:

Drei Studenten des CISPA in Saarbrücken entdeckten den Fehler eher zufällig. Kai Greshake, Eric Petryka und Jens Heyens studieren am Kompetenzzentrum für IT-Sicherheit an der Universität des Saarlandes. Vor etwa zwei Wochen probierten sie wegen ihrer Forschungsarbeit auf Geräte und Dienste spezialisierte Suchmaschinen aus.

Dabei stießen sie auf einen Konfigurationsfehler bei vielen Installationen der Open-Source-Datenbank „MongoDB“. Wenn ein Administrator die Default-Einstellungen übernimmt und ohne weitere Sicherheitsvorkehrungen den Netzwerk-Zugriff für die MongoDB aktiviert, können die Daten bereits von außen zugänglich sein. Alles was man braucht, ist die IP-Adresse.

Aus für alte Postleitzahlen im Internet © dpa Vergrößern Die IP-Adresse genügt, um bei falsch konfigurierten MongoDB-Datenbanken die Informationen lesen zu können

Die Studenten berichten in ihrer Dokumentation, dass ein Angreifer nur einen Port-Scan starten müsse. Dann sucht man im Internet nach Datenbanken, die einen Zugang von Außen über eine fest definierte Tür zulassen. Weil die Datenbanken wohl alle unter dem gleichen Port zugänglich sind, könnte man diesen Scan gezielt durchführen. Das sei „leicht“ und könne in „Stunden“ erreicht werden, schreiben die Studenten in ihrem Bericht. Selbst wenn man weniger Erfahrung mit Computern habe, gebe es die Möglichkeit spezialisierte Suchmaschinen zu nutzen. Um an die IP-Adressen zu gelangen, ist also keine aufwendige Programmierarbeit nötig.

In Absprache mit dem Direktor des CISPA, Michael Backes, und nach einer juristischen Abklärung suchten sich die Studenten einen der 40.000 Datenbanken aus, um ihre Hypothese bestätigen zu können. Dabei nutzen sie zunächst ein übliches Verfahren (Handshake), um sicherzustellen, dass sie eine größere Datenbank erwischen. Rechtlich wäre es kritisch, in eine größere Anzahl von Datenbanken zu schauen, daher beschränkten sich die Studenten auf die Validierung ihrer Hypothese. Und allein in dieser Datenbank waren zirka acht Millionen Einträge frei zugänglich. Es seien die Kundendaten eines „französischen börsennotierten Internetdiensteanbieter und Mobiltelefonbetreibers“ gewesen. Zu sehen waren Name, Adresse, E-Mail, Telefonnummer. Davon waren eine halbe Million Daten von deutschen Kunden.

Mehr zum Thema

Michael Backes, Professor für IT-Sicherheit und Kryptografie, geht davon aus, dass es sich nicht um die größte Datenbank handelt, die gefährdet ist. Zudem sei „Deutschland massiv betroffen“, so der Direktor des CISPA gegenüber FAZ.NET. Man könne das an der Struktur der IP-Adressen erkennen. Aus statistischen Gründen müsse man annehmen, dass auch Datenbanken mit dutzenden Millionen Kunden darunter seien. Und unter den Online-Shops und Plattformen, die die kostenlose Open-Source-Software MongoDB nutzen, seien wahrscheinlich auch sehr bekannte. Die Datenbank sei die beliebteste unter den „NoSQL-Datenbanken“ und somit ein „klassisches Backend“, so Backes. Dokumentenorientierte Datenbanken sind nicht so verbreitet wie SQL. Dennoch arbeiten viele bekannte Unternehmen in irgendeiner Weise mit MongoDB. Darunter sind auch Ebay, Expedia, Otto-Versand, SAP, Springer, Disney, Foursquare, MTV Networks und die „New York Times“.

1 | 2 Nächste Seite   |  Artikel auf einer Seite
 

Hier können Sie die Rechte an diesem Artikel erwerben

Weitere Empfehlungen
Trend Luotiao Chinas Kredithaie verlangen Nacktbilder als Sicherheit

Im chinesischen Internet blüht das Geschäft mit Online-Krediten. Als Sicherheit müssen sich weibliche Schuldner dabei fotografieren lassen – mit Ausweis, aber ohne jede Kleidung. Mehr Von Hendrik Ankenbrand, Schanghai

17.06.2016, 07:27 Uhr | Wirtschaft
Papua-Neuguinea Polizei schießt auf Studenten

Bei Studentenprotesten in der Hauptstadt von Papua-Neuguinea, Port Moresby, hat es Tote und Verletzte gegeben. Nach Augenzeugenberichten hatten Polizisten das Feuer auf Studenten eröffnet, die für eine Absetzung von Premierminister Peter O’Neill demonstriert hatten. Mehr

08.06.2016, 12:25 Uhr | Politik
Spurensuche im Internet So fahndet der Geheimdienst NSA nach Programmierern

Wer hat es geschrieben? Die amerikanische National Security Agency (NSA) betreibt Spurensuche in Text und Code und will damit anonymen Programmierern auf die Schliche kommen – kein einfaches Vorhaben. Mehr Von Peter Welchering

21.06.2016, 15:47 Uhr | Technik-Motor
Dollase vs. Mensa (1) Der Lachs wurde hingerichtet

Was bekommen Studenten eigentlich in deutschen Mensen vorgesetzt? Der F.A.Z.-Gastrokritiker Jürgen Dollase will es in einer Testreihe herausfinden. Wir haben ihn mit der Kamera begleitet. Erste Runde: Heinrich-Heine-Universität, Düsseldorf. Mehr

13.06.2016, 14:41 Uhr | Feuilleton
#TrikotGate So lacht das Netz über die Schweizer Shirts

Gleich sieben Schweizer Trikots reißen beim EM-Spiel gegen Frankreich. Puma will das Material überprüfen. Doch im Internet ergießt sich Spott über den Sportartikel-Hersteller. Mehr

20.06.2016, 11:20 Uhr | Sport

Zerreißprobe

Von Georg Küffner

Doch dass beim Fetzen-Spiel die Schweizer Trikots massenhaft versagt haben, lag nun wirklich nicht hauptursächlich an einem zu dünnen Stoff. Mehr 3 5