t3n News Infrastruktur

Datenschutz-Fail: Studenten finden 40.000 ungesicherte Datenbanken im Netz

Datenschutz-Fail: Studenten finden 40.000 ungesicherte Datenbanken im Netz

Fast 40.000 ungesicherte MongoDB-Datenbanken haben Saarbrücker Studenten im Internet gefunden. Mehrere Millionen Nutzerdaten standen so ohne Zugriffsbeschränkungen im Netz.

Datenschutz-Fail: Studenten finden 40.000 ungesicherte Datenbanken im Netz

Datenbanken ungeschützt. (Foto: Garrett Heath / Flickr Lizenz: CC BY 2.0)

MongoDB: Studenten entdecken fast 40.000 ungeschützte Datenbanken

MongoDB ist die derzeit wohl beliebteste NoSQL-Datenbank. Trotz ihrer weiten Verbreitung scheinen jedoch viele Unternehmen mit der sicheren Konfiguration der Datenbank überfordert zu sein. Den Beweis dafür liefern drei Studenten der Cybersicherheit und Informatik der Universität des Saarlandes. Nach Angaben des Saarbrücker Kompetenzzentrums für IT-Sicherheit, Center for IT-Security, Privacy, and Accountability (CISPA), sind die Studenten auf insgesamt 39.890 MongoDB-Datenbanken gestoßen, die nicht gegen Zugriffe von außen geschützt waren. Selbst Schreibrechte waren bei den Datenbanken nicht eingeschränkt.

Besonders erschreckend: Auch die Kundendatenbank eines französischen Internet- und Mobilfunkanbieters konnten die Studenten auslesen – samt acht Millionen Adressen und Telefonnummern von Kunden des Unternehmens. Darunter sollen sich auch eine halbe Million Adressen aus Deutschland befunden haben. Auch die Datenbank eines deutschen Online-Händlers konnten die Studenten einsehen, darin sollen sogar die Zahlungsinformationen der Kunden verzeichnet gewesen sein.

MongoDB: Die drei Studenten Kai Greshake, Eric Petryka und Jens Heyens fanden fast 40.000 ungeschützte Datenbanken im Netz. (Foto: Universität des Saarlandes)
MongoDB: Die drei Studenten Kai Greshake, Eric Petryka und Jens Heyens fanden fast 40.000 ungeschützte Datenbanken im Netz. (Foto: Universität des Saarlandes)

Datenbanken ungeschützt im Netz: Genaue Zahl lässt sich nicht beziffern

In ihrem Paper mit dem Titel „MongoDB databases at risk“ weisen die Studenten Jens Heyens, Kai Greshake und Eric Petryka darauf hin, dass die von ihnen ermittelte Zahl von 39.890 womöglich nicht exakt sei. Einige größere Anbieter hätten ihren Scan blockiert, daher ließe sich nicht mit Gewissheit sagen, ob es nicht noch mehr öffentlich zugängliche MongoDB-Datenbanken im Netz gibt. Außerdem könnten zumindest einige Datenbanken bewusst öffentlich zugänglich sein, um beispielsweise gezielt kriminelle Hacker anzuziehen. Letztlich dürfte die überwiegende Mehrzahl der Datenbanken jedoch unbeabsichtigt frei zugänglich gewesen sein.

Um die betroffenen Datenbankbetreiber warnen zu können, haben die Studenten Kontakt zur französischen Datenschutzbehörde, verschiedenen Computer-Emergency-Response-Teams (CERTs) sowie zu den Entwicklern von MongoDB aufgenommen. Auch im Interesse der jeweiligen Kunden der Datenbank-Betreiber bleibt zu hoffen, dass sie ihre Datenbestände zukünftig besser gegen den Zugriff von außen schützen werden.

via business.chip.de

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
4 Antworten
  1. von Tom am 11.02.2015 (18:04 Uhr)

    Naja Datenschutz Fail würde ich es nicht nennen, eher Administrator Fail oder Mongo Fail.
    Ein echter Datenschutz Fail liefern unsere Regierungen... So kann England auf die Schengen-Datenbanken zugreifen ohne Schengen Mitglied zu sein...

    Antworten Teilen
  2. von Hapen Hanser am 12.02.2015 (00:23 Uhr)

    @ Tom: guter Punkt. Das ist ein Entwickler/Admin-Ultra-Fail.

    Der Datenschützer z.B. des Telekomanbieters würde wohl zwischenzeitlich davon ausgehen, dass die verwendete Technik das tut was man ihm verspricht und darauf aufbauend seine Richtlinien festlegen. Wenn er z.B. sagt, dass keine Kundendaten mit XY verbunden werden dürfen, ist das damit ok. Wenn die Daten dafür aber völlig öffentlich sind, ist das viel schlimmer, aber nicht in der Form eines eigentlichen Datenschutzproblems.

    Nachtrag: man sehen ob die ersten Fails der elektronischen Krankenkarte (eGK) eher administrativ oder eher datenschutzmäßig ablaufen werden. Also: verpennt der Techniker was wichtiges bei den Verschlüsselungen und die Gesundheitsdaten sind ebenso offen wie hier die MongoDBs, oder darf die NSA rein rechtlich zugreifen, weil Booz allen Hamilton eine nordamerikanische Firma ist, was dann ein echter Datenschutzfail wäre?

    Antworten Teilen
  3. von Stefan Stay am 12.02.2015 (11:05 Uhr)

    Das zeugt von Stümperhaftigkeit. Wie die Vorkommentatoren richtig schrieben, ist ein System nur so sicher, wie der unsicherste Teil davon.

    Wenn man sich anschaut, dass in Deutschland Online-Shops betrieben werden DÜRFEN, die nicht mal eine minimale Absicherung der Identität eines Bestellers einfordern, wird es einem schlecht.

    Wenn man sieht, wo mehr Sensibilität im Umgang mit Daten gefordert wird, gleichzeitig aber völlig veraltete, da unsichere Übertragungsarten- bzw. Mechanismen im Einsatz sind... Das ist schon amüsant!

    Antworten Teilen
  4. von Realitäten am 12.02.2015 (11:07 Uhr)

    Schon traurig. Wenn man sowas herausfindet wird man oft schikaniert und/oder durch Kosten vernichtet.
    Die haben Glück gehabt.

    Hoster müssten Standard-Tests betreiben und betroffene Kunden informieren.
    Am besten synchron eine Organisation informieren die sich systematisch um sowas kümmert. Auch der Staat müsste klare Vorgangs-Regeln haben damit alle offenen MongoDBs abgesichert werden.
    Solche Dinge passieren nämlich immer wieder. Eine brauchbare Meldestelle von FSF, EFF, IHK oder so wäre auch nett.

    Sicherheit ist vielen leider nicht so wichtig.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema
Was sind eigentlich relationale Datenbanken?
Was sind eigentlich relationale Datenbanken?

Früher erfolgte die Datenerfassung mit Stift und Papier, dank Edgar F. Codd ist das Geschichte. Denn er hat  1970  das Modell relationale Datenbanken entwickelt, das bis heute zur elektronischen … » weiterlesen

Hey, Siri: Datenbank zeigt euch über 100 deutsche Sprachbefehle
Hey, Siri: Datenbank zeigt euch über 100 deutsche Sprachbefehle

Hey Siri, was soll ich bloß zu dir sagen? Dank der umfangreichen Datenbank „Hey, Siri“ erhalten iPhone- und iPad-Nutzer einen Überblick über das, was Siri alles versteht. » weiterlesen

Datenbank auf Blockchain-Basis: Das steckt hinter BigchainDB
Datenbank auf Blockchain-Basis: Das steckt hinter BigchainDB

Ein Berliner hat mit BigchainDB eine skalierbare Datenbank entwickelt, die auf der Blockchain-Technologie basiert. Wir verraten euch, welchen Vorteil sich die Macher davon versprechen. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?