Admins sollten ihre Installation dringend checken.
Die Studenten hatten plötzlich völlig ungehinderten Zugriff auf Namen, Adressen, E-Mail- und sogar Kreditkartendaten – einschließlich der Möglichkeit diese zu überschreiben. Es zeigte sich, dass dieser gefährliche Zustand in den meisten Fällen keineswegs beabsichtigt war, sondern dass da echte Kundendaten ungeschützt im Internet standen. Die Studenten informierten CERTs, Datenschützer und den Hersteller, die sich dann um eine Beseitigung des Problems bemühten. Viele Datenbanken sind jedoch nach wie vor unzureichend geschützt. Neben Adressen und Telefonnummern von rund acht Millionen Franzosen, entdeckt bei einem französischen Mobilfunk-Provider, wurden auch rund eine halbe Million deutsche Adressen entdeckt. Auch deutsche Online-Shops mit Kreditkarten-Informationen lokalisierten die Studenten und Mitarbeiter des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) bei ihren Recherchen.
Genauere Recherchen enthüllten, dass es sich um Instanzen der weit verbreiteten NoSQL-Datenbank MongoDB handelt, deren Admins ganz offensichtlich elementare Sicherheitsmechanismen nicht aktiviert hatten. In ihrer Analyse führen die Entdecker das zum Teil auch auf die Art der Standard-Installation und die Dokumentation zurück. Die meisten Distributionen installieren nämlich MongoDB so, dass Zugriffe lediglich vom lokalen System aus möglich sind; weitere Zugriffsbeschränkungen wie Passwörter werden nicht eingerichtet. Wer nun, etwa um die Last zu verteilen, die Datenbank auf einen eigenen Server auslagert und dabei den Zugriff von außen aktiviert, ohne zusätzliche Schutzmaßnahmen einzurichten, findet sich in genau der vorgefundenen Situation wieder: Nicht nur der eigene Web-Server sondern jedermann kann auf die Daten zugreifen.
Wie heise.de weiter dazu ausführte betreffen solche Probleme auch andere NoSQL-Datenbanken wie Redis und Cache-Server wie Memcached. Auch hier findet man ohne großen Aufwand viele, unabsichtlich offenstehende Systeme im Internet. CERT-Bund benachrichtigt bereits seit einiger Zeit Server-Betreiber beziehungsweise die zuständigen Hosting-Provider in Deutschland zu solchen, offen aus dem Internet erreichbaren Redis- und Memcached-Instanzen.
Die Studenten hatten plötzlich völlig ungehinderten Zugriff auf Namen, Adressen, E-Mail- und sogar Kreditkartendaten – einschließlich der Möglichkeit diese zu überschreiben. Es zeigte sich, dass dieser gefährliche Zustand in den meisten Fällen keineswegs beabsichtigt war, sondern dass da echte Kundendaten ungeschützt im Internet standen. Die Studenten informierten CERTs, Datenschützer und den Hersteller, die sich dann um eine Beseitigung des Problems bemühten. Viele Datenbanken sind jedoch nach wie vor unzureichend geschützt. Neben Adressen und Telefonnummern von rund acht Millionen Franzosen, entdeckt bei einem französischen Mobilfunk-Provider, wurden auch rund eine halbe Million deutsche Adressen entdeckt. Auch deutsche Online-Shops mit Kreditkarten-Informationen lokalisierten die Studenten und Mitarbeiter des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA) bei ihren Recherchen.
Genauere Recherchen enthüllten, dass es sich um Instanzen der weit verbreiteten NoSQL-Datenbank MongoDB handelt, deren Admins ganz offensichtlich elementare Sicherheitsmechanismen nicht aktiviert hatten. In ihrer Analyse führen die Entdecker das zum Teil auch auf die Art der Standard-Installation und die Dokumentation zurück. Die meisten Distributionen installieren nämlich MongoDB so, dass Zugriffe lediglich vom lokalen System aus möglich sind; weitere Zugriffsbeschränkungen wie Passwörter werden nicht eingerichtet. Wer nun, etwa um die Last zu verteilen, die Datenbank auf einen eigenen Server auslagert und dabei den Zugriff von außen aktiviert, ohne zusätzliche Schutzmaßnahmen einzurichten, findet sich in genau der vorgefundenen Situation wieder: Nicht nur der eigene Web-Server sondern jedermann kann auf die Daten zugreifen.
Wie heise.de weiter dazu ausführte betreffen solche Probleme auch andere NoSQL-Datenbanken wie Redis und Cache-Server wie Memcached. Auch hier findet man ohne großen Aufwand viele, unabsichtlich offenstehende Systeme im Internet. CERT-Bund benachrichtigt bereits seit einiger Zeit Server-Betreiber beziehungsweise die zuständigen Hosting-Provider in Deutschland zu solchen, offen aus dem Internet erreichbaren Redis- und Memcached-Instanzen.
