Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Datenschutz-Fail: Studenten finden 40.000 ungesicherte Datenbanken im Netz

    Datenschutz-Fail: Studenten finden 40.000 ungesicherte Datenbanken im Netz

Datenbanken ungeschützt. (Foto: Garrett Heath / Flickr Lizenz: CC BY 2.0)

Fast 40.000 ungesicherte MongoDB-Datenbanken haben Saarbrücker Studenten im Internet gefunden. Mehrere Millionen Nutzerdaten standen so ohne Zugriffsbeschränkungen im Netz.

MongoDB: Studenten entdecken fast 40.000 ungeschützte Datenbanken

MongoDB ist die derzeit wohl beliebteste NoSQL-Datenbank. Trotz ihrer weiten Verbreitung scheinen jedoch viele Unternehmen mit der sicheren Konfiguration der Datenbank überfordert zu sein. Den Beweis dafür liefern drei Studenten der Cybersicherheit und Informatik der Universität des Saarlandes. Nach Angaben des Saarbrücker Kompetenzzentrums für IT-Sicherheit, Center for IT-Security, Privacy, and Accountability (CISPA), sind die Studenten auf insgesamt 39.890 MongoDB-Datenbanken gestoßen, die nicht gegen Zugriffe von außen geschützt waren. Selbst Schreibrechte waren bei den Datenbanken nicht eingeschränkt.

Besonders erschreckend: Auch die Kundendatenbank eines französischen Internet- und Mobilfunkanbieters konnten die Studenten auslesen – samt acht Millionen Adressen und Telefonnummern von Kunden des Unternehmens. Darunter sollen sich auch eine halbe Million Adressen aus Deutschland befunden haben. Auch die Datenbank eines deutschen Online-Händlers konnten die Studenten einsehen, darin sollen sogar die Zahlungsinformationen der Kunden verzeichnet gewesen sein.

MongoDB: Die drei Studenten Kai Greshake, Eric Petryka und Jens Heyens fanden fast 40.000 ungeschützte Datenbanken im Netz. (Foto: Universität des Saarlandes)
MongoDB: Die drei Studenten Kai Greshake, Eric Petryka und Jens Heyens fanden fast 40.000 ungeschützte Datenbanken im Netz. (Foto: Universität des Saarlandes)

Datenbanken ungeschützt im Netz: Genaue Zahl lässt sich nicht beziffern

In ihrem Paper mit dem Titel „MongoDB databases at risk“ weisen die Studenten Jens Heyens, Kai Greshake und Eric Petryka darauf hin, dass die von ihnen ermittelte Zahl von 39.890 womöglich nicht exakt sei. Einige größere Anbieter hätten ihren Scan blockiert, daher ließe sich nicht mit Gewissheit sagen, ob es nicht noch mehr öffentlich zugängliche MongoDB-Datenbanken im Netz gibt. Außerdem könnten zumindest einige Datenbanken bewusst öffentlich zugänglich sein, um beispielsweise gezielt kriminelle Hacker anzuziehen. Letztlich dürfte die überwiegende Mehrzahl der Datenbanken jedoch unbeabsichtigt frei zugänglich gewesen sein.

Um die betroffenen Datenbankbetreiber warnen zu können, haben die Studenten Kontakt zur französischen Datenschutzbehörde, verschiedenen Computer-Emergency-Response-Teams (CERTs) sowie zu den Entwicklern von MongoDB aufgenommen. Auch im Interesse der jeweiligen Kunden der Datenbank-Betreiber bleibt zu hoffen, dass sie ihre Datenbestände zukünftig besser gegen den Zugriff von außen schützen werden.

via business.chip.de

Finde einen Job, den du liebst

4 Reaktionen
Realitäten
Realitäten

Schon traurig. Wenn man sowas herausfindet wird man oft schikaniert und/oder durch Kosten vernichtet.
Die haben Glück gehabt.

Hoster müssten Standard-Tests betreiben und betroffene Kunden informieren.
Am besten synchron eine Organisation informieren die sich systematisch um sowas kümmert. Auch der Staat müsste klare Vorgangs-Regeln haben damit alle offenen MongoDBs abgesichert werden.
Solche Dinge passieren nämlich immer wieder. Eine brauchbare Meldestelle von FSF, EFF, IHK oder so wäre auch nett.

Sicherheit ist vielen leider nicht so wichtig.

Antworten
Stefan Stay
Stefan Stay

Das zeugt von Stümperhaftigkeit. Wie die Vorkommentatoren richtig schrieben, ist ein System nur so sicher, wie der unsicherste Teil davon.

Wenn man sich anschaut, dass in Deutschland Online-Shops betrieben werden DÜRFEN, die nicht mal eine minimale Absicherung der Identität eines Bestellers einfordern, wird es einem schlecht.

Wenn man sieht, wo mehr Sensibilität im Umgang mit Daten gefordert wird, gleichzeitig aber völlig veraltete, da unsichere Übertragungsarten- bzw. Mechanismen im Einsatz sind... Das ist schon amüsant!

Antworten
Hapen Hanser
Hapen Hanser

@ Tom: guter Punkt. Das ist ein Entwickler/Admin-Ultra-Fail.

Der Datenschützer z.B. des Telekomanbieters würde wohl zwischenzeitlich davon ausgehen, dass die verwendete Technik das tut was man ihm verspricht und darauf aufbauend seine Richtlinien festlegen. Wenn er z.B. sagt, dass keine Kundendaten mit XY verbunden werden dürfen, ist das damit ok. Wenn die Daten dafür aber völlig öffentlich sind, ist das viel schlimmer, aber nicht in der Form eines eigentlichen Datenschutzproblems.

Nachtrag: man sehen ob die ersten Fails der elektronischen Krankenkarte (eGK) eher administrativ oder eher datenschutzmäßig ablaufen werden. Also: verpennt der Techniker was wichtiges bei den Verschlüsselungen und die Gesundheitsdaten sind ebenso offen wie hier die MongoDBs, oder darf die NSA rein rechtlich zugreifen, weil Booz allen Hamilton eine nordamerikanische Firma ist, was dann ein echter Datenschutzfail wäre?

Antworten
Tom
Tom

Naja Datenschutz Fail würde ich es nicht nennen, eher Administrator Fail oder Mongo Fail.
Ein echter Datenschutz Fail liefern unsere Regierungen... So kann England auf die Schengen-Datenbanken zugreifen ohne Schengen Mitglied zu sein...

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen