https://www.faz.net/-gy9-7zm10

Sicherheitslücke entdeckt : Millionen Kundendaten im Internet frei zugänglich

So verteilen sich die offenen MongoDB-Datenbanken weltweit Bild: Jens Heyens, Kai Greshake, Eric Petryka, Universität des Saarlandes, CISPA

Die Universität des Saarlandes ist auf eine hochgefährliche Sicherheitslücke im Internet gestoßen: Millionen Kundendaten konnten wegen eines Fehlers in einer Datenbank-Software gelesen und manipuliert werden. Für Kriminelle eine Einladung.

          Die Informationen lagen frei im Netz - und einige tun es möglicherweise immer noch. Es geht um 39.890 Datenbanken. Viele Millionen Kundendaten sind betroffen. Mit etwas Glück und wenig Wissen könnte jeder auf die Datensätze zugreifen, sie abgreifen und nach Belieben verändern. Es genügt, die IP-Adresse der Datenbank zu kennen, um sie auslesen zu können.

          Drei Studenten des CISPA in Saarbrücken entdeckten den Fehler eher zufällig. Kai Greshake, Eric Petryka und Jens Heyens studieren am Kompetenzzentrum für IT-Sicherheit an der Universität des Saarlandes. Vor etwa zwei Wochen probierten sie wegen ihrer Forschungsarbeit auf Geräte und Dienste spezialisierte Suchmaschinen aus.

          Dabei stießen sie auf einen Konfigurationsfehler bei vielen Installationen der Open-Source-Datenbank „MongoDB“. Wenn ein Administrator die Default-Einstellungen übernimmt und ohne weitere Sicherheitsvorkehrungen den Netzwerk-Zugriff für die MongoDB aktiviert, können die Daten bereits von außen zugänglich sein. Alles was man braucht, ist die IP-Adresse.

          Die IP-Adresse genügt, um bei falsch konfigurierten MongoDB-Datenbanken die Informationen lesen zu können

          Die Studenten berichten in ihrer Dokumentation, dass ein Angreifer nur einen Port-Scan starten müsse. Dann sucht man im Internet nach Datenbanken, die einen Zugang von Außen über eine fest definierte Tür zulassen. Weil die Datenbanken wohl alle unter dem gleichen Port zugänglich sind, könnte man diesen Scan gezielt durchführen. Das sei „leicht“ und könne in „Stunden“ erreicht werden, schreiben die Studenten in ihrem Bericht. Selbst wenn man weniger Erfahrung mit Computern habe, gebe es die Möglichkeit spezialisierte Suchmaschinen zu nutzen. Um an die IP-Adressen zu gelangen, ist also keine aufwendige Programmierarbeit nötig.

          In Absprache mit dem Direktor des CISPA, Michael Backes, und nach einer juristischen Abklärung suchten sich die Studenten einen der 40.000 Datenbanken aus, um ihre Hypothese bestätigen zu können. Dabei nutzen sie zunächst ein übliches Verfahren (Handshake), um sicherzustellen, dass sie eine größere Datenbank erwischen. Rechtlich wäre es kritisch, in eine größere Anzahl von Datenbanken zu schauen, daher beschränkten sich die Studenten auf die Validierung ihrer Hypothese. Und allein in dieser Datenbank waren zirka acht Millionen Einträge frei zugänglich. Es seien die Kundendaten eines „französischen börsennotierten Internetdiensteanbieter und Mobiltelefonbetreibers“ gewesen. Zu sehen waren Name, Adresse, E-Mail, Telefonnummer. Davon waren eine halbe Million Daten von deutschen Kunden.

          Michael Backes, Professor für IT-Sicherheit und Kryptografie, geht davon aus, dass es sich nicht um die größte Datenbank handelt, die gefährdet ist. Zudem sei „Deutschland massiv betroffen“, so der Direktor des CISPA gegenüber FAZ.NET. Man könne das an der Struktur der IP-Adressen erkennen. Aus statistischen Gründen müsse man annehmen, dass auch Datenbanken mit dutzenden Millionen Kunden darunter seien. Und unter den Online-Shops und Plattformen, die die kostenlose Open-Source-Software MongoDB nutzen, seien wahrscheinlich auch sehr bekannte. Die Datenbank sei die beliebteste unter den „NoSQL-Datenbanken“ und somit ein „klassisches Backend“, so Backes. Dokumentenorientierte Datenbanken sind nicht so verbreitet wie SQL. Dennoch arbeiten viele bekannte Unternehmen in irgendeiner Weise mit MongoDB. Darunter sind auch Ebay, Expedia, Otto-Versand, SAP, Springer, Disney, Foursquare, MTV Networks und die „New York Times“.

          Weitere Themen

          Das Darknet - Ort der Kriminalität? Video-Seite öffnen

          Erklärvideo : Das Darknet - Ort der Kriminalität?

          Die internationalen Polizeibehörden haben ein Pädophilen-Netzwerk zerschlagen, das im Darknet operierte. Diesen dunklen Bereich des Internets nutzen Menschen, die verborgen unterwegs sein wollen. Dazu gehören neben Schwerkriminellen auch Whistleblower und Regimekritiker, die Zensur umgehen wollen.

          Warum die Vereinigten Staaten keinen ICE haben Video-Seite öffnen

          Geisterbahn : Warum die Vereinigten Staaten keinen ICE haben

          2008 stimmten die Kalifornier in einem Referendum für eine Hochgeschwindigkeits-Bahnstrecke zwischen Los Angeles und San Francisco, passiert ist bis heute wenig. Weil die Baukosten explodiert sind, strich der neue Gouverneur unlängst die Mittel für das Projekt zusammen. Nun wird es womöglich nie kommen.

          Topmeldungen

          Nach Mays Ankündigung : Brexit-Opfer

          Das Brexit-Thema wurde May wie zuvor schon Cameron zum politischen Verhängnis – und es ist eine Last, die auch die kommende Regierung nicht einfach abschütteln kann. Die EU allerdings auch nicht.
          Ein Vapiano Restaurant in der Münchner Innenstadt

          30 Millionen Euro : Vapiano erhält dringend benötigte Kredite

          Vapiano verkündete zuletzt eine schlechte Nachricht nach der anderen: Gewinnwarnungen, Abgänge von Spitzenpersonal, tiefrote Zahlen. Jetzt hat sich die angeschlagene Restaurantkette eine wichtige Geldspritze gesichert.

          Ehemaliger Außenminister : Tillerson keilt gegen Trump

          Mehr als ein Jahr nach seiner Entlassung spricht Trumps ehemaliger Außenminister Rex Tillerson im Kongress über seine Amtszeit. Dabei erhärtet er eine Sorge vieler Beobachter.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.