Einer Forschungsgruppe des Kompetenzzentrums Cispa, das zur Universität Saarbrücken gehört, über ganz normale Suchmaschinenabfragen an mehrere Millionen ungesicherter Datensätze der Inhaber von Kreditkarten zu gelangen. Betroffen sind die Daten, die auf MongoDB-Servern und in MongoDB-Diensten gespeichert werden. Insgesamt hatten die Studenten Zugriff auf die Daten der Kreditkarten in fast 40.000 Datenbanken. Besonders gefährlich an der Sicherheitslücke ist, dass die hinterlegten Daten nicht nur ausgelesen werden können, sondern auch manipuliert werden können. Die Universität Saarbrücken reagierte sofort und informierte sowohl die Anbieter dieser Datenbanksysteme als auch das zuständige Bundesministerium. Grund ist, dass allein in einer der frei zugänglichen Datenbanken auch die Daten der Kreditkarten von einer halben Million Deutschen gefunden wurden.
Wie ist die Sicherheitslücke bei MongoDB entstanden?
Der Fehler, der zur freien Zugänglichkeit der Daten für Kreditkarten gesorgt hat, liegt nicht im Datenbanksystem selbst. Das Problem sind die Einstellungen, die bei der Installation der MongoDB-Software vorgegeben sind. Sie beziehen sich auf die Nutzung in lokalen und geschlossenen Netzwerken, wo keine besonders hochwertigen Zugriffsbeschränkungen notwendig sind. Wird die MongoDB-Software allerdings ins Internet gestellt, müssen diese Zugriffsbeschränkungen durch die Veränderung der individuellen Einstellungen gesetzt werden. Genau das hat offenbar eine Vielzahl der Anwender vergessen. Diese Erklärung lieferte Michael Backes, der derzeit als Chef des Kompetenzzentrums Cispa an der Universität Saarbrücken tätig ist. Er bezeichnete die Wirkung dieser Nachlässigkeit der Administratoren wörtlich als „katastrophal“.
Was sollte man über die Datenbanksoftware MongoDB wissen?
Als Entwickler von MongoDB gilt die gleichnamige Incorporated, die von Dublin, New York und Palo Alto aus agiert. Die erste Version von MongoDB wurde im Februar 2009 veröffentlicht. Die derzeit aktuelle Version (Stand 10. Februar 2015) ist 2.6.7. Die dokumentenorientierte Datenbanksoftware wurde in der Programmiersprache C++ verfasst und wird mit der Lizenz GNU AGPL v3.0 mit Apache-Treibern angeboten. Der Vorteil von MongoDB ist, dass dieses Datenbanksystem plattformübergreifend sowohl auf Servern mit Linux und Windows als auch Mac OS X und Solaris in Betrieb genommen werden kann. Außerdem lässt sich das System MongoDB über mehr als zehn verschiedene grafische Benutzeroberflächen an die Wünsche der Anwender anpassen. Zu den bekanntesten Anwendern zählen CourceForge, New York Times, die Disney Interactive Media Group swie MTV Networks sowie das Institut CERN.
Quelle: n-tv
About Author
Weitere Meldungen
Warum ist die professionelle Daten- und Aktenvernichtung unverzichtbar?
40 Jahre Windows: Die Geschichte eines Betriebssystems
Computermaus: 45 Jahre Patentanmeldung