Schwere Sicherheitslücke in Systemen mit MongoDB

Viele Onlineshops und Websites setzten auf die frei verfügbare MongoDB. Aufgrund einer falschen Konfiguration sind möglicherweise mehrere tausend Webpräsenzen unsicher und führt dazu, dass Millionen von Daten nahzu für jedermann einsehbar sind.

Zu den betroffenen Webseiten und Shops gehören auch große börsennotierte Unternehmen. Die Studenten der Universität Saarbrücken entdeckten bei einem französischen Mobilf-Anbieter mehrere Millionen Adressen und Teleofnnummern. Jedoch ist auch die Datenbank eines großen deutschen Online-Händlers betroffen. Auch hier fanden die Studenten die Kundendaten inklusive der Zahlungsinformationen.

Es wird bei diesem Problem von etwa 40.000 Datenbanken gesprochen, die falsch konfiguriert wurden.

Fehlerhafte Konfiguration der Grund

Es handelt sich bei diesem Problem nicht um einen Fehler innerhalb der MongoDB, sondern um eine falsche Konfiguration. Beim Einrichten der Datenbank, kann es sehr schnell zu fehlern kommen. Wenn sich die Administratoren “blind” an die Leitfäden zu der Installation und Konfiguration der Datenbank halten ohne diese zu hinterfragen, stehen die Daten nahzu schutzlos im Internet zur Verfügung.

In diesem Fall bzw. diesen Fällen wurden ganz offensichtlich elementare Sicherheitsmechanismen nicht aktiviert. Zum Teil wurden die Datenbanken aus den Distributionen direkt installiert. Diese konfigurieren die MongoDB jedoch so, dass Zugriffe lediglich von lokalen Systemen möglich sind, aber es werden keine weiteren Zugriffsbeschränkungen wie Passwörter eingerichtet. Wenn nun diese Datenbank, um beispielsweise die Last zu verteilen, auf andere Server auslagert wird und den Zugriff von aussen aktiviert, ohne die Schutzmaßnahmen zu konfigurieren, findet sich in genau dieser Situation wieder. Somit können dann nicht nur die eigenen Web-Server auf die Daten zugreifen, sondern jedermann kann Zugriff auf die Daten bekommen.

Weitere Datenbanken betroffen

Die Probleme mit der MongoDB betreffen auch andere NoSQL Datenbanken wie beispielsweise Redis oder auch Cache-Server wie der beliebte Memcached.


Von | 2015-02-11T09:30:45+00:00 11. Februar 2015|News, Sicherheit|0 Kommentare

Über den Autor:

Björn Alexander Binder
Seit 1998 bin ich mit dem Ecommerce vertraut und habe zu der Anfangszeit mit Partnern neben einigen Webprojekten mehrere Onlineshops betrieben. Zu Beginn handelte es sich noch um oscommerce basierende Shops. Aufgrund vieler Mängel und fehlenden Features habe ich mich mit anderen oscommerce Usern zusammen getan und wir haben das oscommerce Shopsystem geforkt. Aus diesem Fork wurde später dann das xtcommerce Shopsystem aus dem ich mich direkt in der Anfangszeit aufgrund Zeitmangels zurück gezogen habe. Seit 2013 betreue ich wieder als selbständiger Kunden rund um den Ecommerce Sektor und bin zudem JTL Servicepartner. Für mich ist die persönliche Betreuung und klare Informationspolitik meinen Kunden gegenüber das wichtigste. Nur zufriedene Kunden sind gute Kunden! Bei Fragen rund um JTL, Magento und anderen Onlineshopsystemen bin ich Ihr Ansprechpartner und freue mich auf Ihre Anfrage.

Hinterlassen Sie einen Kommentar