Sicherheitslücke entdeckt – Kundeninformationen frei im Internet zugänglich

Drei Informatikstudenten des Saarländer Kompetenzzentrums für IT-Sicherheit fanden einen Fehler in einer Software, durch den mehrere Millionen Kundendaten, eventuell auch von eBay, im Internet frei zugänglich waren.

Die Studenten entdeckten die Sicherheitslücken in der Software „MongoDB“. Auf der ganzen Welt bauen mehrere Millionen Web-Shops auf der Datenbank-Software von „MongoDB“ auf, unter anderem wohl auch eBay und Expedia. eBay untersuche gegenwärtig, inwieweit es von der entdeckten Sicherheitslücke betroffen ist.

Die drei Saarländer Studenten entdeckten den Fehler eher zufällig, als sie vor zwei Wochen wegen ihrer Forschungsarbeit auf Geräte und Dienste spezialisierte Suchmaschinen erprobten. Dabei stießen sie auf den Fehler. Durch diesen waren wohl mehrere Millionen Kundeninformationen, wie Namen, Adressen, Mails und sogar Kreditkartennummern, frei verfügbar. Wie die „Frankfurter Allgemeine“ berichtete, sei alles, was man benötigte, um die Informationen in der Datenbank lesen zu können, die IP-Adresse gewesen.

Betroffen von dem Sicherheitsleck seien zirka 40.000 Datenbanken. Datenbanken werden von Online-Diensten dazu genutzt, um Kundendaten anzulegen. „MongoDB“ werde von so vielen Diensten verwendet, weil die Software kostenfrei und darüber hinaus sehr einfach zu bedienen sei. Viele User hätten aber bei der Überführung ihrer Datenbanken auf das Internet keine Passwörter erstellt.

Die Studenten stellen die Dokumentation der Forschung und eine Anleitung zur sicheren Konfiguration von MongoDB hier zum Download bereit.