http://www.faz.net/-gy9-7zm10
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER

Veröffentlicht: 10.02.2015, 10:00 Uhr

Sicherheitslücke entdeckt Millionen Kundendaten im Internet frei zugänglich

Die Universität des Saarlandes ist auf eine hochgefährliche Sicherheitslücke im Internet gestoßen: Millionen Kundendaten konnten wegen eines Fehlers in einer Datenbank-Software gelesen und manipuliert werden. Für Kriminelle eine Einladung.

von
© Jens Heyens, Kai Greshake, Eric Petryka, Universität des Saarlandes, CISPA So verteilen sich die offenen MongoDB-Datenbanken weltweit

Die Informationen lagen frei im Netz - und einige tun es möglicherweise immer noch. Es geht um 39.890 Datenbanken. Viele Millionen Kundendaten sind betroffen. Mit etwas Glück und wenig Wissen könnte jeder auf die Datensätze zugreifen, sie abgreifen und nach Belieben verändern. Es genügt, die IP-Adresse der Datenbank zu kennen, um sie auslesen zu können.

Marco Dettweiler Folgen:

Drei Studenten des CISPA in Saarbrücken entdeckten den Fehler eher zufällig. Kai Greshake, Eric Petryka und Jens Heyens studieren am Kompetenzzentrum für IT-Sicherheit an der Universität des Saarlandes. Vor etwa zwei Wochen probierten sie wegen ihrer Forschungsarbeit auf Geräte und Dienste spezialisierte Suchmaschinen aus.

Dabei stießen sie auf einen Konfigurationsfehler bei vielen Installationen der Open-Source-Datenbank „MongoDB“. Wenn ein Administrator die Default-Einstellungen übernimmt und ohne weitere Sicherheitsvorkehrungen den Netzwerk-Zugriff für die MongoDB aktiviert, können die Daten bereits von außen zugänglich sein. Alles was man braucht, ist die IP-Adresse.

Aus für alte Postleitzahlen im Internet © dpa Vergrößern Die IP-Adresse genügt, um bei falsch konfigurierten MongoDB-Datenbanken die Informationen lesen zu können

Die Studenten berichten in ihrer Dokumentation, dass ein Angreifer nur einen Port-Scan starten müsse. Dann sucht man im Internet nach Datenbanken, die einen Zugang von Außen über eine fest definierte Tür zulassen. Weil die Datenbanken wohl alle unter dem gleichen Port zugänglich sind, könnte man diesen Scan gezielt durchführen. Das sei „leicht“ und könne in „Stunden“ erreicht werden, schreiben die Studenten in ihrem Bericht. Selbst wenn man weniger Erfahrung mit Computern habe, gebe es die Möglichkeit spezialisierte Suchmaschinen zu nutzen. Um an die IP-Adressen zu gelangen, ist also keine aufwendige Programmierarbeit nötig.

In Absprache mit dem Direktor des CISPA, Michael Backes, und nach einer juristischen Abklärung suchten sich die Studenten einen der 40.000 Datenbanken aus, um ihre Hypothese bestätigen zu können. Dabei nutzen sie zunächst ein übliches Verfahren (Handshake), um sicherzustellen, dass sie eine größere Datenbank erwischen. Rechtlich wäre es kritisch, in eine größere Anzahl von Datenbanken zu schauen, daher beschränkten sich die Studenten auf die Validierung ihrer Hypothese. Und allein in dieser Datenbank waren zirka acht Millionen Einträge frei zugänglich. Es seien die Kundendaten eines „französischen börsennotierten Internetdiensteanbieter und Mobiltelefonbetreibers“ gewesen. Zu sehen waren Name, Adresse, E-Mail, Telefonnummer. Davon waren eine halbe Million Daten von deutschen Kunden.

Mehr zum Thema

Michael Backes, Professor für IT-Sicherheit und Kryptografie, geht davon aus, dass es sich nicht um die größte Datenbank handelt, die gefährdet ist. Zudem sei „Deutschland massiv betroffen“, so der Direktor des CISPA gegenüber FAZ.NET. Man könne das an der Struktur der IP-Adressen erkennen. Aus statistischen Gründen müsse man annehmen, dass auch Datenbanken mit dutzenden Millionen Kunden darunter seien. Und unter den Online-Shops und Plattformen, die die kostenlose Open-Source-Software MongoDB nutzen, seien wahrscheinlich auch sehr bekannte. Die Datenbank sei die beliebteste unter den „NoSQL-Datenbanken“ und somit ein „klassisches Backend“, so Backes. Dokumentenorientierte Datenbanken sind nicht so verbreitet wie SQL. Dennoch arbeiten viele bekannte Unternehmen in irgendeiner Weise mit MongoDB. Darunter sind auch Ebay, Expedia, Otto-Versand, SAP, Springer, Disney, Foursquare, MTV Networks und die „New York Times“.

1 | 2 Nächste Seite   |  Artikel auf einer Seite
 

Hier können Sie die Rechte an diesem Artikel erwerben

Weitere Empfehlungen
3. EU-Flaggschiff-Programm Eine Milliarde Euro als Quantenbeschleuniger

Die EU startet ein neues Flaggschiff-Projekt: Damit will Brüssel in Europa die Weichen für die zweite Quantenrevolution stellen und so den Weg für zahlreiche Konzepte der Quantentechnologie in die technische Anwendung ebnen. Mehr Von Manfred Lindinger

19.05.2016, 11:45 Uhr | Wissen
Santiago de Chile Chilenische Studenten liefern sich Straßenschlacht mit der Polizei

Die Demonstranten werfen der Mitte-links-Regierung vor, notwendige Reformen des Bildungssystems zu verschleppen. Mehr

27.05.2016, 12:08 Uhr | Politik
Freies W-Lan für alle Willkommen im digitalen Wunderland

Pünktlich zur EM sollen in Berlin Sendemaste freies Internet spenden. Das Livestream-Erlebnis bleibt so keinem Hauptstädter vorenthalten. Gibt es neuerdings ein Grundrecht auf W-Lan? Mehr Von Niklas Záboji

27.05.2016, 17:36 Uhr | Feuilleton
Ausweitung Kabinett billigt Mutterschutz für Studentinnen

Die Bundesregierung will den gesetzlichen Mutterschutz ausweiten: Der vom Kabinett verabschiedeter Gesetzentwurf sieht vor, dass von den Schutz-Regelungen auch Frauen in Studium, Ausbildung und Schule profitieren sollen. Mehr

04.05.2016, 16:45 Uhr | Politik
Architekturbiennale Wie Heimat entstehen kann

Heute beginnt in Venedig die 15. Architekturbiennale. Ein Frankfurter Team des Deutschen Architekturmuseums fragt dort in ihrer Ausstellung: Wie kann Integration gelingen? Mehr Von Rainer Schulze

27.05.2016, 15:25 Uhr | Rhein-Main

Fahrt schlau

Von Lukas Weber

Zu den missvergnüglichen Seiten des Autofahrens gehört es, morgens und abends in der Schlange zu stehen und zu warten, bis sie weiterkriecht. Mehr 5