MongoDB-Sicherheitslücke

Millionen Nutzerdaten frei zugänglich

In der beliebten Datenbank-Software MongoDB wurde eine schwerwiegende Sicherheitslücke entdeckt, die Millionen offene Nutzerdaten bedeutet.

News
Symbolbild für Internet-Sicherheit und Spionage
In der Datenbank-Software MongoDB wurde eine Sicherheitslücke entdeckt.
© Sergey Nivens - Fotolia.com

Die populäre NoSQL-Datenbank MongoDB ist von einer schweren Sicherheitslücke betroffen. durch die mehrere Tausend Datenbanken offengelegt sind. Nahezu ungehindert können Personen sämtliche Eintragungen in der jeweiligen Datenbank einsehen.

Unter den unzähligen sensiblen Daten befinden sich nebst Namen und Adressen auch Kreditkartendaten. Auch eine halbe Million deutscher Adressen konnten durch die Lücke entdeckt werden. Der Fehler liegt dabei in nicht aktivierten Sicherheitsmechanismen der MongoDB, die durch Admins hätte erfolgen sollen.

Entdeckt wurde die Problematik von Studenten des Saarbrückener Kompetenzzentrums für IT-Sicherheit. Möglich ist der Zugriff von außen, da Standard-Installationen der MongoDB nur Zugriff vom lokalen System aus ermöglichen. Weitere Sicherheitsmaßnahmen wie Passwörter werden nicht eingerichtet.

Werden Datenbanken nun auf externe Server umgelagert und der damit notwendige Zugriff von außen ohne weitere Konfigurationen eingerichtet, so ist dann nicht nur für den Besitzer der MongoDB-Datenbank die Einsicht auf die Daten möglich, sondern für alle.

In einer offiziellen Stellungnahme bitten die Entdecker der Problematik eindringlich darum, die Notwendigkeit von zusätzlichen Sicherheitsmaßnahmen besser zu dokumentieren und nach Möglichkeit bereits in der Standard-Installation zu verwenden. Nutzer einer solchen MongoDB-Datenbank wird empfohlen, diese Einstellungen zu überprüfen und gegebenenfalls zu verändern.

Mehr lesen

Technical Preview

Windows 10: Neuheiten aus Build 9926

Mehr Sicherheit im Heimnetzwerk

WLAN-Gastzugang einrichten - so geht's

11.2.2015 von Jusuf Hatic

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

Spähaffäre: Chaos Computer Club verklagt britischen Geheimdienst GCHQ

Spähaffäre

Chaos Computer Club verklagt britischen Geheimdienst GCHQ

Der Chaos Computer Club (CCC) hat eine Klage gegen den britischen Geheimdienst Government Communications Headquaters (GCHQ) eingereicht.

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

Symbolbild: Sicherheit

Kundenpasswörter im Klartext

Bitdefender gehackt und erpresst - Nutzerdaten gestohlen

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im Klartext.

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.