Experten warnen vor Sicherheitslücke in MongoDB-Datenbanken

Laut dem Saarbrücker Kompetenzzentrum für IT-Sicherheit finden sich zahlreiche Kundendaten im Internet. Grund ist eine Sicherheitslücke bei MongoDB-Datenbanken.

Gerade heute zum Safer Internet Day haben Informatik-Studenten eine Sicherheitslücke in den bekannten MongoDB-Datenbanken bekannt gemacht. Die Studenten des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) fanden in ihrer Untersuchung knapp 40.000 ungesicherte MongoDB-Datenbanken im Internet. Auch zahlreiche Online-Shops und Plattformen sollen betroffen sein, da sie diese Datenbanken nutzen.

Einfacher Fehler, katastrophale Wirkung

Ursache für die Sicherheitslücke soll laut der Computerwelt die falsche Konfiguration der frei verfügbaren Datenbank MongoDB sein. MongoDB ist eine frei verfügbare Open Source NoSQL-Datenbank, auf der weltweit Millionen Online-Shops und Plattformen ihre eigenen Dienste aufgebaut haben.

„Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, sagte Michael Backes, Professor für Informationssicherheit und Kryptographie an der Universität Saarland. Würden sich die Anwender bei der Einrichtung der MongoDB-Datenbank an die Leitfäden der Betreiber halten und nicht entscheidende Details bedenken, stünden die Daten vieler Kunden schutzlos im Internet.

„Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein“, sagte Backes. Die Studenten konnten nach eigenen Angaben binnen weniger Minuten eine ungesicherte Datenbank eines namentlich nicht genannten Online-Händlers im Netz finden, bei welcher sie Zugriff auf die Namen, Adressen und Zahlungsinformationen der Kunden bekommen hätten.

Kriminelle könnten Identitätsdiebstähle durchführen

Die in diesen durch die Sicherheitslücke öffentlich zugänglichen Datenbanken gespeicherten Daten, reichen für Kriminelle aus, um Identitätsdiebstähle durchzuführen, so Michael Backes. Auch wenn die Sicherheitslücke geschlossen wird, können Kriminelle mit den bereits erworbenen Daten der Kunden Schaden anrichten.

Inzwischen haben die Wissenschaftler den Hersteller von MongoDB informiert, in der Hoffnung dass dieser die Lücke behebt. Die zahlreichen Online-Händler, die auf MongoDB setzen, sollten schnell überprüfen, ob sie von der Sicherheitslücke betroffen sind. In einer PDF erklären die Studenten, wie überprüft werden kann, ob man von der Sicherheitslücke betroffen ist und wie man die Lücke beheben kann.