Studenten entdecken Datenbank-Fehler:

Millionen Kundendaten ungesichert im Netz

+
Eine schwere Sicherheitslücke haben Studenten aus Saarbrücken entdeckt: Unter Verwendung der beliebten Datenbank MongoDB wurden Unmengen von Kundendaten ungesichert ins Internet gestellt.

Saarbrücken - Die Datenbank MongoDB ist unter Web-Entwicklern populär, auch weil sie frei erhältlich ist. Viele haben MongoDB aber unsicher online gestellt, so dass vertrauliche Daten von Unbefugten eingesehen werden können.

Studenten aus Saarbrücken haben eine schwerwiegende Sicherheitslücke im Internet entdeckt. „Jedermann konnte mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder gar verändern“, teilte die Universität Saarbrücken am Dienstag mit. Ursache sei eine falsch konfigurierte frei verfügbare Datenbank-Software, auf der weltweit Millionen von Online-Shops und Plattformen ihre Dienste aufbauen.

Die Lücke betrifft nach Erkenntnissen der Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) knapp 40 000 Datenbanken. Bei dem falsch implementierten Programm handelt es sich um die populäre Datenbank MongoDB, die als offene Software kostenlos verwendet werden kann. „Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet“, erklärten die Saarbrücker Forscher. Das Kompetenzzentrum habe Hersteller und Datenschützer informiert.

Die Datenbank wird von de gleichnamigen Firma MongoDB entwickelt, die sich als internationales Unternehmen mit US-Hauptquartieren in New York und Palo Alto sowie einer internationalen Zentrale in der irischen Hauptstadt Dublin versteht. MongoDB verdient das Geld mit Serviceleistungen für über 2000 Großkunden und hatte erst im vergangenen Januar eine Finanzspritze von 80 Millionen Dollar von Investoren für die Umsetzung einer internationalen Wachstumsstrategie erhalten.

„Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, erklärte Informatik-Professor Michael Backes, Direktor des CISPA. Die Lücke betreffe eine hohe Anzahl von Datenbanken, die im Internet ohne jegliche Schutzmechanismen zu erreichen seien. Drei CISPA-Studenten hätten über eine Suchmaschine nach MongoDB-Servern und Diensten gesucht. Bei vielen Suchtreffern sei der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen. „Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein“, erklärte Backes.

Zu den betroffenen Websites gehörte demnach auch die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefonie-Betreibers, die die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Laut Aussage der Studenten befinden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden.

dpa

So machen Sie Ihr Passwort sicher

Liebe Leserinnen und Leser,

wir bitten um Verständnis, dass es im Unterschied zu vielen anderen Artikeln auf unserem Portal unter diesem Artikel keine Kommentarfunktion gibt. Bei einzelnen Themen behält sich die Redaktion vor, die Kommentarmöglichkeiten einzuschränken, um Missbrauch zu vermeiden.

Die Redaktion

Kommentare

Unsere Kommentarfunktion wird über den Anbieter DISQUS gesteuert. Nutzer, die diesen Dienst nicht verwenden, können sich hier über das alte HNA-Login anmelden.

Hinweise zum Kommentieren:
In der Zeit zwischen 17 und 9 Uhr werden keine neuen Beiträge freigeschaltet.

Auf HNA.de können Sie Ihre Meinung zu einem Artikel äußern. Im Interesse aller Nutzer behält sich die Redaktion vor, Beiträge zu prüfen und gegebenenfalls abzulehnen. Halten Sie sich beim Kommentieren bitte an unsere Richtlinien: Bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht. Bitte halten Sie sich bei Ihren Beiträgen an das Thema des Artikels. Lesen Sie hier unsere kompletten Nutzungsbedingungen.

Die Kommentarfunktion unter einem Artikel wird automatisch nach drei Tagen geschlossen.