MongoDB-Sicherheitslücke

Millionen Nutzerdaten frei zugänglich

In der beliebten Datenbank-Software MongoDB wurde eine schwerwiegende Sicherheitslücke entdeckt, die Millionen offene Nutzerdaten bedeutet.

Symbolbild für Internet-Sicherheit und Spionage

© Sergey Nivens - Fotolia.com

In der Datenbank-Software MongoDB wurde eine Sicherheitslücke entdeckt.

Die populäre NoSQL-Datenbank MongoDB ist von einer schweren Sicherheitslücke betroffen. durch die mehrere Tausend Datenbanken offengelegt sind. Nahezu ungehindert können Personen sämtliche Eintragungen in der jeweiligen Datenbank einsehen.

Unter den unzähligen sensiblen Daten befinden sich nebst Namen und Adressen auch Kreditkartendaten. Auch eine halbe Million deutscher Adressen konnten durch die Lücke entdeckt werden. Der Fehler liegt dabei in nicht aktivierten Sicherheitsmechanismen der MongoDB, die durch Admins hätte erfolgen sollen.

Entdeckt wurde die Problematik von Studenten des Saarbrückener Kompetenzzentrums für IT-Sicherheit. Möglich ist der Zugriff von außen, da Standard-Installationen der MongoDB nur Zugriff vom lokalen System aus ermöglichen. Weitere Sicherheitsmaßnahmen wie Passwörter werden nicht eingerichtet.

Werden Datenbanken nun auf externe Server umgelagert und der damit notwendige Zugriff von außen ohne weitere Konfigurationen eingerichtet, so ist dann nicht nur für den Besitzer der MongoDB-Datenbank die Einsicht auf die Daten möglich, sondern für alle.

In einer offiziellen Stellungnahme bitten die Entdecker der Problematik eindringlich darum, die Notwendigkeit von zusätzlichen Sicherheitsmaßnahmen besser zu dokumentieren und nach Möglichkeit bereits in der Standard-Installation zu verwenden. Nutzer einer solchen MongoDB-Datenbank wird empfohlen, diese Einstellungen zu überprüfen und gegebenenfalls zu verändern.

Mehr lesen

Mehr Sicherheit im Heimnetzwerk

Mehr zum Thema

Symbolbild für Internet-Sicherheit und Spionage
Nach Hacking-Team-Enthüllungen

Kritisches Flash Player Update als Download: Nach den Hacking-Team-Enthüllungen werden die aufgedeckten Sicherheitslücken bereits ausgenutzt.
Flash-Lücke entdeckt
Hacking Team Leak

Der Hackerangriff auf die italienische IT-Firma Hacking Team bringt weitere schwere Sicherheitslücken in Adobe Flash ans Tageslicht.
Firefox - Flash Player Block
Mozilla und Facebook reagieren auf neue Exploits

Mozilla reagiert auf die jüngst aufgedeckten Zero-Day-Lücken in Adobes Flash Player. Im Browser Firefox wird das Flash-Plugin vorerst per…
Spam-Mails
Betrug per E-Mail

Eine vermeintliche E-Mail von Amazon führt zur Katastrophe: Ein Video zeigt, wie schnell unachtsame Internet-Nutzer Phishing-Mails zum Opfer fallen…
E-Mails am PC: nicht immer sicher!
"Ihre Aktion ist erforderlich"

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!