Studenten finden knapp 40.000 ungesicherte Datenbanken im Netz

SicherheitSicherheitsmanagement
Logo Universität des Saarlandes (Bild: Universität des Saarlandes)

Die Sicherheitslücke soll in falsch konfigurierten Open-Source-Datenbanken des Typs MongoDB stecken. Entdeckt haben sie Studenten der Universität des Saarlandes. Ihnen zufolge sind etwa Kundendaten eines französischen Internet Service Providers und Zahlungsinformationen eines deutschen Online-Händlers für jeden zugänglich. Hersteller und Datenschützer seien informiert.

Studenten der Universität des Saarlandes haben knapp 40.000 ungesicherte Datenbanken – unter anderem aus Deutschland und Frankreich – im Internet entdeckt. Drei der künftigen Absolventen des Studienfaches Cybersicherheit und Informatik konnten ungehindert mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern abrufen oder sogar verändern. Das hat das Saarbrücker Kompetenzzentrum für IT-Sicherheit (CISPA) jetzt bekannt gegeben. Ihm zufolge haben sich die Betreiber bei der Installation der Datenbasis blind an die Leitfäden gehalten und dabei entscheidende Details nicht bedacht, sodass die Daten nun schutzlos im Internet stehen. Das Kompetenzzentrum habe Hersteller und Datenschützer bereits informiert.

Die Saarbrücker Informatik-Studenten Kai Greshake, Eric Petryka und Jens Heyens (v.l.n.r.) haben eine gravierende Sicherheitslücke in Open-Source-Datenbanken des Typs MongoDB im Internet entdeckt (Bild: Universität des Saarlandes)
Die Saarbrücker Informatik-Studenten Kai Greshake, Eric Petryka und Jens Heyens (v.l.n.r.) haben eine gravierende Sicherheitslücke in Open-Source-Datenbanken des Typs MongoDB im Internet entdeckt (Bild: Universität des Saarlandes).

“Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal”, erklärt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes sowie Direktor des CISPA, in einer Pressemitteilung. Die Studenten und CISPA-Mitarbeiter Kai Greshake, Eric Petryka und Jens Heyens hätten Backes Ende Januar diesbezüglich kontaktiert. Heyens studiert Cybersicherheit an der Universität des Saarlandes, seine beiden Kommilitonen werden sich im kommenden Semester auf das im Wintersemester 2014 neu gestartete Studienfach spezialisieren. Die Schwachstelle, die die drei Studenten entdeckt haben, betrifft der aktuellsten Information der CISPA zufolge insgesamt 39.890 Datenbestände.

“Die Datenbanken arbeiten darunter ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind”, führt Backes weiter aus. Bei den Datenbanken handele es sich um Systeme vom Typ MongoDB – eine der am weitesten verbreiteten, kostenlos erhältlichen Open-Source-Datenbanken. Laut CISPA bauen darauf “Millionen von Online-Shops und Plattformen” weltweit ihre Dienste auf.

Die Studenten hätten testweise eine bekannte Suchmaschine nach MongoDB-Servern- und Diensten abgesucht, die mit dem Internet verbunden sind. Auf diese Weise fanden sie laut CISPA die IP-Adressen, unter denen Unternehmen die Datenbanken ungeschützt betreiben. Als die Studenten unter der jeweiligen IP-Adresse die gefundenen MongoDB-Datenbanken aufriefen, seien sie überrascht gewesen, da der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen sei: “Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein”, kommentiert Backes. Binnen weniger Minuten hätten die Studenten die Anfälligkeit auch bei einer Vielzahl anderer Datenbanken ausgemacht.

Logo Universität des Saarlandes (Bild: Universität des Saarlandes)

Am offensichtlichsten sei die Lücke in der Kundendatenbank eines französischen, börsennotierten Internetdienstanbieters und Mobilfunkanbieters gewesen, die Adressen und Telefonnummern von rund acht Millionen Franzosen vorhalte. Laut Aussage der Studenten befanden sich darunter auch eine halbe Million deutscher Adressen.

Die Datenbank eines deutschen Online-Händlers hätten sie einschließlich der darin vermerkten Zahlungsinformationen ebenso ungesichert vorgefunden. “Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben”, erläutert Backes.

Die Wissenschaftler des CISPA begannen eigenen Angaben zufolge daher sofort damit, den Hersteller sowie internationale Koordinationsstellen für IT-Sicherheit (CERTs) zu kontaktieren. Außerdem hätten sie die französische Datenschutzbehörde “Commission nationale de l’informatique et des libertés” sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. “Wir hoffen auch, dass der Hersteller von MongoDB unsere Erkenntnisse rasch aufnimmt, sie in seine Anleitungen einarbeitet und sie so auch an die Anwender weitergibt”, so Backes.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen