{"id":33573,"date":"2015-02-10T09:00:00","date_gmt":"2015-02-10T09:00:00","guid":{"rendered":"http:\/\/de.newseurope.info\/?p=33573"},"modified":"2015-02-10T09:00:00","modified_gmt":"2015-02-10T09:00:00","slug":"sicherheitslucke-entdeckt-millionen-kundendaten-im-internet-frei-zuganglich","status":"publish","type":"post","link":"https:\/\/de.newseurope.info\/?p=33573","title":{"rendered":"Sicherheitsl\u00fccke entdeckt: Millionen Kundendaten im Internet frei zug\u00e4nglich"},"content":{"rendered":"

Die Universit\u00e4t des Saarlandes ist auf eine hochgef\u00e4hrliche Sicherheitsl\u00fccke im Internet gesto\u00dfen: Millionen Kundendaten konnten wegen eines Fehlers in einer Datenbank-Software gelesen und manipuliert werden. F\u00fcr Kriminelle eine Einladung.<\/p>\n

<\/p>\n

Die Informationen lagen frei im Netz – und einige tun es m\u00f6glicherweise immer noch. Es geht um 39.890 Datenbanken. Viele Millionen Kundendaten sind betroffen. Mit etwas Gl\u00fcck und wenig Wissen k\u00f6nnte jeder auf die Datens\u00e4tze zugreifen, sie abgreifen und nach Belieben ver\u00e4ndern. Es gen\u00fcgt, die IP-Adresse der Datenbank zu kennen, um sie auslesen zu k\u00f6nnen.<\/p>\n

Drei Studenten des CISPA in Saarbr\u00fccken entdeckten den Fehler eher zuf\u00e4llig. Kai Greshake, Eric Petryka und Jens Heyens studieren am Kompetenzzentrum f\u00fcr IT-Sicherheit an der Universit\u00e4t des Saarlandes. Vor etwa zwei Wochen probierten sie wegen ihrer Forschungsarbeit auf Ger\u00e4te und Dienste spezialisierte Suchmaschinen aus.<\/p>\n

Dabei stie\u00dfen sie auf einen Konfigurationsfehler bei vielen Installationen der Open-Source-Datenbank \u201eMongoDB\u201c. Wenn ein Administrator die Default-Einstellungen \u00fcbernimmt und ohne weitere Sicherheitsvorkehrungen den Netzwerk-Zugriff f\u00fcr die MongoDB aktiviert, k\u00f6nnen die Daten bereits von au\u00dfen zug\u00e4nglich sein. Alles was man braucht, ist die IP-Adresse.<\/p>\n

Aus f\u00fcr alte Postleitzahlen im Internet<\/a>Die IP-Adresse gen\u00fcgt, um bei falsch konfigurierten MongoDB-Datenbanken die Informationen lesen zu k\u00f6nnen<\/span><\/span><\/span><\/p>\n

Die Studenten berichten in ihrer Dokumentation<\/a>, dass ein Angreifer nur einen Port-Scan starten m\u00fcsse. Dann sucht man im Internet nach Datenbanken, die einen Zugang von Au\u00dfen \u00fcber eine fest definierte T\u00fcr zulassen. Weil die Datenbanken wohl alle unter dem gleichen Port zug\u00e4nglich sind, k\u00f6nnte man diesen Scan gezielt durchf\u00fchren. Das sei \u201eleicht\u201c und k\u00f6nne in \u201eStunden\u201c erreicht werden, schreiben die Studenten in ihrem Bericht. Selbst wenn man weniger Erfahrung mit Computern habe, gebe es die M\u00f6glichkeit spezialisierte Suchmaschinen zu nutzen. Um an die IP-Adressen zu gelangen, ist also keine aufwendige Programmierarbeit n\u00f6tig.<\/p>\n

In Absprache mit dem Direktor des CISPA, Michael Backes, und nach einer juristischen Abkl\u00e4rung suchten sich die Studenten einen der 40.000 Datenbanken aus, um ihre Hypothese best\u00e4tigen zu k\u00f6nnen. Dabei nutzen sie zun\u00e4chst ein \u00fcbliches Verfahren (Handshake), um sicherzustellen, dass sie eine gr\u00f6\u00dfere Datenbank erwischen. Rechtlich w\u00e4re es kritisch, in eine gr\u00f6\u00dfere Anzahl von Datenbanken zu schauen, daher beschr\u00e4nkten sich die Studenten auf die Validierung ihrer Hypothese. Und allein in dieser Datenbank waren zirka acht Millionen Eintr\u00e4ge frei zug\u00e4nglich. Es seien die Kundendaten eines \u201efranz\u00f6sischen b\u00f6rsennotierten Internetdiensteanbieter und Mobiltelefonbetreibers\u201c gewesen. Zu sehen waren Name, Adresse, E-Mail, Telefonnummer. Davon waren eine halbe Million Daten von deutschen Kunden.<\/p>\n

Mehr zum Thema<\/span><\/p>\n