Rund 40.000 Datenbanken komplett ungesichert für jeden zugänglich

Rund 40.000 Datenbank-Installationen bei zahlreichen Unternehmen, Online-Shops und Web-Diensten waren und sind zum Teil noch immer für jeden aus dem Internet heraus zugänglich. Gespeichert sind hier unter anderem persönliche Daten von Millionen Nutzern - darunter Namen, Adressen und Kreditkartennummern. Entdeckt wurde das Problem von Studenten des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA). Betroffen waren dabei vor allem Dienste-Anbieter in Deutschland und Frankreich. Hinter deren Anwendungen stand jeweils die freie Datenbank MongoDB. Das Problem entstand offenbar dadurch, dass sich die Admins einfach blind an die Installations-Leifäden hielten und nicht weitergehend überprüften, ob ihre Datenbank vor Zugriffen von Außen abgesichert war.

"Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal", erklärte Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes und Direktor des CISPA. Nachdem die Studenten des Instituts das Problem bei ersten Installationen entdeckt hatten, suchten sie per Suchmaschine nach weiteren Instanzen. Insgesamt wurden so 39.890 Adressen gefunden, hinter denen sich ungesicherte Datenbanken kontaktieren ließen.

Weitgehend ausschließen konnte man aufgrund der Analysen, dass sich ein Admin hier vielleicht einen Zugang offen ließ, um auch von zuhause aus an dem jeweiligen System arbeiten zu können. So etwas kommt zuweilen zwar vor, doch aufgrund der großen Anzahl von Datenbanken mit dem gleichen Sicherheitsleck und der Tatsache, dass jeder, der eine Verbindung herstellte, auch Schreibrechte erhielt, ist nicht von mutwilligem Verschulden auszugehen.

Auch Konzerne betroffen

Gefunden wurde das Problem keineswegs nur bei kleineren Anbietern, die nicht über eine ausreichend geschulte IT-Abteilung verfügen. So entdeckte man beispielsweise auch die Kundendatenbank eines französischen Providers und Mobilfunkbetreibers. Hier waren die persönlichen Daten von rund acht Millionen französischen und auch einer halbe Million deutscher Nutzer zu finden. Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden.

"Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben", erläuterte Backes das Problem. Über den Fund wurden bereits die internationale Koordinationsstellen für IT-Sicherheit (CERTs), die französische Datenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnik informiert - ebenso aber auch bereits eine Reihe betroffener Unternehmen.