Yahoo Nachrichten Gigantisches Sicherheitsleck bei Online-Shops entdeckt
Software MongoDB macht Millionen von Kundendaten sichtbar
Deutsche Studenten sind durch Zufall auf eine Sicherheitslücke bei den Datenbanken großer Online-Shops gestoßen. Millionen von Kundendaten, darunter auch Kreditkartennummern, sollen für jedermann frei abrufbar sein. Ursache des Lecks ist eine falsche Konfiguration der Software MongoDB, die auch von Ebay verwendet wird.
„Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, erklärte Michael Backes, Direktor des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA). Drei seiner Studenten waren während ihrer Forschungen durch Zufall auf das gravierende Sicherheitsleck gestoßen. Bei Tausenden Online-Datenbanken sind demnach mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern frei zugänglich und können sogar verändert werden. Betroffen sind laut der Universität des Saarlands knapp 40.000 Internetadressen im In- und Ausland. „Die Datenbanken arbeiten darunter ohne jegliche Sicherheitsmechanismen“, warnte Backes.
Der Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes geht von einem Fehler seitens der Betreiber aus. „Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind.“ Ursache der massiven Sicherheitslücke ist demnach eine falsche Konfiguration von MongoDB, eine der am weitesten verbreiteten, kostenlos erhältlichen Datenbanken. Werden bei der Installation entscheidende Punkte missachtet, sind die sensiblen Informationen frei zugänglich.
Die Studenten hatten über eine simple Suchmaschinen-Anfrage die IP-Adressen von Datenbanken verschiedener Unternehmen herausgefunden. Diese ließen sich zur Überraschung der Wissenschaftler ohne jeden Sicherheitsmechanismus aufrufen. Die Studenten hatten so unter anderem Zugang zu den Daten von Millionen Kunden eines französischen Internetdienstanbieters, darunter auch eine halbe Million Adressen aus Deutschland. Völlig ungesichert war den Angaben zufolge auch die Datenbank eines deutschen Internethändlers. „Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen“, warnte Backes. „Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben.“
MongoDB wird Medienberichten zufolge von so beliebten Diensten wie Ebay, Expedia und Foursquare genutzt. Welche Unternehmen genau betroffen sind, wurde nicht bekannt. Die Forscher alarmierten MongoDB und staatliche Überwachungsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik über die Sicherheitslücke.
