http://www.faz.net/-gy9-7zm10

Sicherheitslücke entdeckt : Millionen Kundendaten im Internet frei zugänglich

So verteilen sich die offenen MongoDB-Datenbanken weltweit Bild: Jens Heyens, Kai Greshake, Eric Petryka, Universität des Saarlandes, CISPA

Die Universität des Saarlandes ist auf eine hochgefährliche Sicherheitslücke im Internet gestoßen: Millionen Kundendaten konnten wegen eines Fehlers in einer Datenbank-Software gelesen und manipuliert werden. Für Kriminelle eine Einladung.

          Die Informationen lagen frei im Netz - und einige tun es möglicherweise immer noch. Es geht um 39.890 Datenbanken. Viele Millionen Kundendaten sind betroffen. Mit etwas Glück und wenig Wissen könnte jeder auf die Datensätze zugreifen, sie abgreifen und nach Belieben verändern. Es genügt, die IP-Adresse der Datenbank zu kennen, um sie auslesen zu können.

          Drei Studenten des CISPA in Saarbrücken entdeckten den Fehler eher zufällig. Kai Greshake, Eric Petryka und Jens Heyens studieren am Kompetenzzentrum für IT-Sicherheit an der Universität des Saarlandes. Vor etwa zwei Wochen probierten sie wegen ihrer Forschungsarbeit auf Geräte und Dienste spezialisierte Suchmaschinen aus.

          Dabei stießen sie auf einen Konfigurationsfehler bei vielen Installationen der Open-Source-Datenbank „MongoDB“. Wenn ein Administrator die Default-Einstellungen übernimmt und ohne weitere Sicherheitsvorkehrungen den Netzwerk-Zugriff für die MongoDB aktiviert, können die Daten bereits von außen zugänglich sein. Alles was man braucht, ist die IP-Adresse.

          Die IP-Adresse genügt, um bei falsch konfigurierten MongoDB-Datenbanken die Informationen lesen zu können
          Die IP-Adresse genügt, um bei falsch konfigurierten MongoDB-Datenbanken die Informationen lesen zu können : Bild: dpa

          Die Studenten berichten in ihrer Dokumentation, dass ein Angreifer nur einen Port-Scan starten müsse. Dann sucht man im Internet nach Datenbanken, die einen Zugang von Außen über eine fest definierte Tür zulassen. Weil die Datenbanken wohl alle unter dem gleichen Port zugänglich sind, könnte man diesen Scan gezielt durchführen. Das sei „leicht“ und könne in „Stunden“ erreicht werden, schreiben die Studenten in ihrem Bericht. Selbst wenn man weniger Erfahrung mit Computern habe, gebe es die Möglichkeit spezialisierte Suchmaschinen zu nutzen. Um an die IP-Adressen zu gelangen, ist also keine aufwendige Programmierarbeit nötig.

          In Absprache mit dem Direktor des CISPA, Michael Backes, und nach einer juristischen Abklärung suchten sich die Studenten einen der 40.000 Datenbanken aus, um ihre Hypothese bestätigen zu können. Dabei nutzen sie zunächst ein übliches Verfahren (Handshake), um sicherzustellen, dass sie eine größere Datenbank erwischen. Rechtlich wäre es kritisch, in eine größere Anzahl von Datenbanken zu schauen, daher beschränkten sich die Studenten auf die Validierung ihrer Hypothese. Und allein in dieser Datenbank waren zirka acht Millionen Einträge frei zugänglich. Es seien die Kundendaten eines „französischen börsennotierten Internetdiensteanbieter und Mobiltelefonbetreibers“ gewesen. Zu sehen waren Name, Adresse, E-Mail, Telefonnummer. Davon waren eine halbe Million Daten von deutschen Kunden.

          Michael Backes, Professor für IT-Sicherheit und Kryptografie, geht davon aus, dass es sich nicht um die größte Datenbank handelt, die gefährdet ist. Zudem sei „Deutschland massiv betroffen“, so der Direktor des CISPA gegenüber FAZ.NET. Man könne das an der Struktur der IP-Adressen erkennen. Aus statistischen Gründen müsse man annehmen, dass auch Datenbanken mit dutzenden Millionen Kunden darunter seien. Und unter den Online-Shops und Plattformen, die die kostenlose Open-Source-Software MongoDB nutzen, seien wahrscheinlich auch sehr bekannte. Die Datenbank sei die beliebteste unter den „NoSQL-Datenbanken“ und somit ein „klassisches Backend“, so Backes. Dokumentenorientierte Datenbanken sind nicht so verbreitet wie SQL. Dennoch arbeiten viele bekannte Unternehmen in irgendeiner Weise mit MongoDB. Darunter sind auch Ebay, Expedia, Otto-Versand, SAP, Springer, Disney, Foursquare, MTV Networks und die „New York Times“.

          Weitere Themen

          Polizei stoppt Anti-Trump-Demo mit Knüppeln und Tränengas Video-Seite öffnen

          Pakistan : Polizei stoppt Anti-Trump-Demo mit Knüppeln und Tränengas

          In der pakistanischen Stadt Karachi hat die Polizei eine gegen Trump gerichtete Studenten-Demo mit Gewalt aufgelöst. Die Beziehungen zwischen Pakistan und den Vereinigten Staaten sind momentan belastet. Amerikas Präsident beschuldigt Pakistan, militanten Gruppen einen Rückzugsort zu bieten.

          Topmeldungen

          Aufstieg bei den Konservativen : Der britischste aller Briten

          Jacob Rees-Mogg war schon immer anders. Mit fünf Jahren wurde er Mitglied der Tories, doch niemand sagte ihm eine große Karriere voraus. Nun steht er plötzlich im Rampenlicht.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.