Rund 40.000 Datenbanken komplett ungesichert für jeden zugänglich

Rund 40.000 Datenbank-Installationen bei zahlreichen Unternehmen, Online-Shops und Web-Diensten waren und sind zum Teil noch immer für jeden aus dem Internet heraus zugänglich. Gespeichert sind hier unter anderem persönliche Daten von Millionen ... mehr... Google, Nutzerdaten, Datencenter Google, Nutzerdaten, Datencenter Google, Nutzerdaten, Datencenter

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich bin Heil froh und Dankbar, das es >noch< solche Leute gibt, die sich uneigennützig dem Allgemeinwohl verpflichtet fühlen!
 
Super und natürlich wie immer keine weiterführende Informationen mit denen man als evtl. Kunde bei derartigen Shops etwas anfangen könnte, wie z.B.: seinen eigenen Datensatz zu löschen.
 
@Aerith: Tipp, als eventuell Betroffener könnte man sic auch die Mühe machen, sich mit dem Endeckern in Verbindung zu setzen,

http://www.kompetenz-it-sicherheit.de/cispa/

als zu hoffen das die" gebratenen Tauben direkt in den Mund fliegen".
 
@Kribs: Ja ne is klar, die haben sicher Lust und Möglichkeiten tausende Anfragen zu bearbeiten....
 
@Aerith: Es ist doch relativ einfach verständlich, das auf einer Seite wie WF keine Anleitung zum ausspähen von Datenbanken veröffentlicht wird.
Außerdem halte ich es für sehr unwahrscheinlich das WF (Mitarbeiter) überhaupt die Umsetzung kennen.
Also bleibt jeden eventuell Betroffenen nur übrig sich an die Initiatoren zu wenden, ob die sich zurückmelden steht auf einen anderen Blatt.
 
@Kribs: Eine verlinkte Liste mit den Namen der Shops/Dienste ist das was ich will. Dann kann ich prüfen ob meine Daten bei einem solchen Unternehmen gelandet sind und sie dort entfernen.

Niemals wollte ich eine Anleitung um in DBs einzubrechen. Damit hab ich eh nichts am Hut.
 
@Aerith: Äh...?

Bevor ich dich jetzt ganz Missverstehe, du willst deine Daten in den Datenbanken betroffener "Shops/Dienste" löschen/entfernen, was vermuten lässt, du meinst Datenbanken auf die du eigentlich keinen Zugang haben dürftest, die du nicht mal kennst?

Also möchtest du doch eine Anleitung zum Eindringen in diese Datenbanken.
 
@Kribs: Oder er will einfach nur wissen, welche Unternehmen betroffen sind, sodass er dort BEANTRAGEN KANN, dass seine Daten gelöscht werden bzw. seinen Account löschen kann.
Du bist ein Krümelkacker :-o
Aber die Liste wird er nicht kriegen, da er sich sonst Zugriff verschaffen könnte.
 
@Kribs: Ich denke, er will blos die Namen der Shops wissen um ggfs. seine betroffenen Accounts zu löschen. EDIT: d1ps3t war schneller :D
 
@Kribs: Genau... so wirds sein... und morgen knacken wir CIA-Server... *rolleyes*
 
@Kribs: Beispiel: MMOGA Internet Shop ist in der Liste.

Ich logge mich bei MMOGA in meinen Account ein und lösche meine Daten bzw ersetze sie durch Blödsinn, sofern eine Löschung nicht möglich ist.

Wenn ich dann das nächste Mal bei MMOGA einkaufe, hinterlege ich meine Daten nur temporär, sprich ich kaufe als Gast bei denen ein.
 
@Chris Sedlmair: Schonwieder? ... ._.
 
@Aerith: Genau, damit die Hacker gleich ohne großen Aufwand ihre Ziele bekommen?
 
@dodnet: Entsprechende Personenkreise sind wohl kaum auf solche Öffentliche Listen angewiesen, stattdessen sollte man den betroffenen Nutzern die Möglichkeit geben seine Daten zu löschen oder zumindest die Zugangsdaten zu ändern!
 
@Aerith: Was willst du denn hier haben? eine Liste mit den betroffenen Seiten damit jeder auch mal ausprobieren kann ob das wirklich und immer noch so ist?
 
@1338: Es ist entweder das oder blindes Vertrauen darin, dass die betreffenden Firmen ihre Schlamperei anständig aufräumen.

Die Erkenntnis ist draußen. Jeder Hacker wird jetzt ohnehin jeden Shop durchtesten der ihm einfällt um zu sehn ob er was einsacken kann.
 
@1338: Und du willst jetzt warten bis diese Shops evtl irgendwann die Lücken geschlossen haben statt zu handeln und die Daten zu löschen bevor sie an dritte kommen?

Wenn dir im Urlaub einfällt das die Haustür offen steht würdest du doch auch nicht drauf hoffen das es keiner sieht sondern dich drum kümmern das einer die Tür schließt.
 
@Aerith: UPDATE customers SET deleted = 1 WHERE kundenid = 12345

:(
 
@notepad.exe: Nana, nicht in aller Öffentlichkeit die Standardimplementierung für "Kundendaten löschen" preisgeben. :D
 
@notepad.exe: Nein, ich möchte diesen Teppich nicht kaufen! :D
 
Ich hätte nie gedacht, daß das Web *dermaßen* von Inkompetenz strotzt. *schock*

Dafür sind die Jungs von der IT-Abteilung *da*. Was machen die? Däumchen drehen?
 
@RalphS: kein Geld, oder keine Zeit. Es muss meist alles bewilligt werden.
 
@RalphS: IT-Abteilung? Was ist das?
 
@RalphS: Das hat nichts mit inkompetenz zu tun sondern ehr damit was der Arbeitgeber/Unternehmer in IT-Sicherheit investiert. Wie Tavoc schon sagte ist es meistens mangels Geld nicht möglich da irgendwas zu machen. Der teure Sportflitzer ist halt wichtiger als die Firma.

Teilweise/Überwiegend ist es aber auch einfach so, dass einfach keine Zeit für da ist das richtig zu machen. Der Chef will halt irgendwas SOFORT gemacht haben, dann wollen andere wieder irgendwas und am Ende des Tages hast du von deinem eigentlichen Aufgaben es nichtmal geschafft die E-Mails abzurufen. Ich möchte unterstellen das es hier egal ist ob es ein kleines oder großes Unternehmen ist.

Natürlich gibts auch IT-Abteilungen wo schlampig gearbeitet wird. Aber das wären die letzten Jahre auffällig zu viele
 
@MarcelP: In einer mir bekannten Firma ist eine umgeschulte Bürokauffrau für die IT zuständig. Entsprechend viel Ahnung hat die.
 
@Chiron84: Umschulung ist ja auch nichts anderes als eine Ausbildung nur ohne Berufschule. Jeder hat mal klein angefangen.
Und sollte es drauf abzielen wegen Studium - naja, ich habe dort auch schon Leute erlebt wo man sich fragt wie die überhaupt dort die Aufnahmeprüfung bestanden haben. Man kann die kompetenzen von Personen nicht unbedingt nur auf den Bildungsgrad festlegen.

Kenne einen der mal beim Bau war und hat auch ne Umschulung zum Fachinformatiker gemacht und der zeigt wissen in vielen Bereichen (Linux, Anwendungsentwicklung, etc.) als hätte er das Wissen es als kleines Kind mit der Muttermilch bekommen. Gibt solche und solche.
 
@MarcelP: Prinzipiell stimme ich dir zu, aber ich denke ich habe hier etwas zu voreilig den Begriff "Umschulung" benutzt.
 
@MarcelP: Dann hat der Arbeitgeber halt Pech. Wer der Meinung ist, fünf Euro mehr im Monat für jemanden mit Ahnung braucht man nicht auszugeben, der hat es nicht besser verdient.

DBMS sind heutzutage ausreichend kritisch, daß man da investieren MUß. Wer den Praktikanten hinstellt und dem sagt "setz mir nen SQLITE für meinen Onlineshop auf"... der muß dann damit rechnen, daß ihm am Ende sehr viel mehr verloren geht, als er durch den Praktikanten eingespart hat.

DBMS "in Standardkonfiguration"? ... Mir fehlen die Worte und ich möchte echt mal wissen, ob die mit Oracle klarkommen würden... oder auch nur mit MSSQL.
 
@RalphS: Du missverstehst meinen Text. Es geht nicht darum das der jeweilige IT-Mitarbeiter keine Kompetenzen aufweist oder unterbezahlt ist sondern das er diese Person einfach zu viele Nebenaufgaben bekommt.
Wenn meine Hauptaufgaben in der IT-Sicherheit liegen und mein Chef mir aber vorgibt das ich jetzt unbedingt die komplette Computertechnik prüfen und reparieren soll dann kann ich mich nicht mehr um die Sicherheit kümmern. Zusätzlich will der Chef noch unbedingt bis zum Folgetag auch irgendwas gemacht haben.

Ist jetzt ein blödes Beispiel aber ich denke du weist worauf ich raus will. Man hat faktisch keine Chance mehr seine Hauptaufgabe zu erfüllen.
Selbst wenn es solche Leute gibt die wirklich nur diese Hauptaufgabe haben wird man dauerhaft nicht zuschauen wie die Leute den ganzen Tag vor Monitoren hängen und sich die E*** kraulen bis mal was passiert wo sie eingreifen müssen. Heutzutage hat keiner was zu verschenken.
 
@MarcelP: Ich denke nicht, daß ich Dich mißverstehe. Wenn ein Mann zuwenig ist, stellt man eben einen zweiten ein. Dann freuen sich alle: der Arbeitgeber, weil mehr Zuverlässigkeit da ist, der "alte" Arbeitnehmer, weil er nicht mehr alles alleine machen muß, und der "neue" Arbeitnehmer auch, weil er nicht mehr herumhartzen muß.

Diese "Spar, Spar, Spar"-Mentälität ist es, die *mir* so auf die besagten E*** geht. Vor allem, da sie keinen Sinn ergibt... wie man ja auch hier sieht. Von zwei IT-Fachpersonen wird eher der eine den anderen auf etwas aufmerksam machen können... wenn nur einer da ist, wird das nicht klappen. Ganz zu schweigen davon, daß - wie Du ja sagst - dann auch noch so Späßchen wie "och räum mir mal die komplette Infrastruktur um, morgen um 6 Uhr früh muß es fertig sein" dazukommen.
 
@RalphS: Sorry, die Firma in der wirklich jemand eingestellt wird, wenn ein Mann zu wenig da ist, die existiert einfach nicht mehr.

Ein Mitarbeiter mehr sind mehr Kosten und das ist alles was zählt. Vollkommen wurscht ob da mehr Zuverlässigkeit bei raus kommt.

Solang es irgendwie funktioniert sind die Mitarbeiter vollkommen ausreichend, selbst wenn die, die da sind 200% arbeiten müssen.
 
@Draco2007: Ich weiß. So Leuten kann man dann aber wirklich nur eins sagen: wenn was passiert, biste selber Schuld. Sorry.
 
Dann will ich mal paar Daten löschen, wenns noch möglich ist :3 :P
 
MongoDB? Bin nur ich der einzige der da lachen musste? Der Name ist wohl entsprechend der IT gewählt, die es benutzen soll ...
 
@xerex.exe: Wir nutzen teilweise auch MongoDB bei Projekten mit sehr vielen Daten. Was hast du dagegen? Weil es komisch heißt? ;)
 
Verstehe ich das richtig? Die sind nicht nur übers Netz erreichbar, scheinbar sind aber auch Username und Passwort nicht vorhanden bzw. auf Standard-Werten aus dem Installationsguide?!? Welche IT-Abteilung kriegt denn sowas hin?
 
@RayStorm: Die unterbesetzte und unterqualifizierte, weil IT kein Geld kosten darf?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles