Viele Onlineshops und Websites setzten auf die frei verfügbare MongoDB. Aufgrund einer falschen Konfiguration sind möglicherweise mehrere tausend Webpräsenzen unsicher und führt dazu, dass Millionen von Daten nahzu für jedermann einsehbar sind.
Zu den betroffenen Webseiten und Shops gehören auch große börsennotierte Unternehmen. Die Studenten der Universität Saarbrücken entdeckten bei einem französischen Mobilf-Anbieter mehrere Millionen Adressen und Teleofnnummern. Jedoch ist auch die Datenbank eines großen deutschen Online-Händlers betroffen. Auch hier fanden die Studenten die Kundendaten inklusive der Zahlungsinformationen.
Es wird bei diesem Problem von etwa 40.000 Datenbanken gesprochen, die falsch konfiguriert wurden.
Fehlerhafte Konfiguration der Grund
Es handelt sich bei diesem Problem nicht um einen Fehler innerhalb der MongoDB, sondern um eine falsche Konfiguration. Beim Einrichten der Datenbank, kann es sehr schnell zu fehlern kommen. Wenn sich die Administratoren „blind“ an die Leitfäden zu der Installation und Konfiguration der Datenbank halten ohne diese zu hinterfragen, stehen die Daten nahzu schutzlos im Internet zur Verfügung.
In diesem Fall bzw. diesen Fällen wurden ganz offensichtlich elementare Sicherheitsmechanismen nicht aktiviert. Zum Teil wurden die Datenbanken aus den Distributionen direkt installiert. Diese konfigurieren die MongoDB jedoch so, dass Zugriffe lediglich von lokalen Systemen möglich sind, aber es werden keine weiteren Zugriffsbeschränkungen wie Passwörter eingerichtet. Wenn nun diese Datenbank, um beispielsweise die Last zu verteilen, auf andere Server auslagert wird und den Zugriff von aussen aktiviert, ohne die Schutzmaßnahmen zu konfigurieren, findet sich in genau dieser Situation wieder. Somit können dann nicht nur die eigenen Web-Server auf die Daten zugreifen, sondern jedermann kann Zugriff auf die Daten bekommen.
Weitere Datenbanken betroffen
Die Probleme mit der MongoDB betreffen auch andere NoSQL Datenbanken wie beispielsweise Redis oder auch Cache-Server wie der beliebte Memcached.