MongoDB ist eine beliebte, kostenlose Datenbank-Alternative für SQL und durchaus geeignet für kleine wie große Projekte. Eigentlich ist das eine feine Sache, zumal MongoDB auch performant ist und populär dank Open-Source. Nun kam es jedoch zu einer erheblichen Sicherheitslücke im Februar, die von Studenten der Uni Saarbrücken aufgedeckt wurde.
Die Tür stand offen - keiner hat aufgepasst
Eine nicht-triviale Anzahl von Installationen tuckerte nämlich ungesichert durch das Netz. Es handelte sich dabei nicht um einen Bug, sondern laut Toptarif News schlicht um undurchdachte Sicherheitsmaßnahmen auf Adminseite. Ähnliche Fälle gab es bereits mit Admin-Shares unter Windows.
Insgesamt 8 Millionen Telefonnummern und Anschriften von Kunden eines französischen Telekommunikationsanbieters waren beispielsweise aufgrund der schlecht gesicherten Datenbanken zugänglich. International handelte es sich um 40.000 MongoDB-Datenbanken ohne vernünftigen Schutz, die über das offene Netz angreifbar waren und teilweise noch sind.
Uni Saarbrücken klärt zu MongoDB auf
Drei Studenten der Uni Saarbrücken (Jens Heyens, Kai Greshake und Eric Petryka) entdeckten den Konfigurationsfehler bei dieser immensen Anzahl von Servern, die eigentlich sensible Daten der Öffentlichkeit ohne zusätzliche Tools zugänglich machten. Die Macher von MongoDB warnen mittlerweile Administratoren, die nötigen Schritte zur Absicherung möglichst zeitnah durchzuführen.
Der Grund für die ungesicherten Installationen mag sich im Kontext der Entwicklung finden, wo oftmals unsichere Parameter zu reibungsloseren Prozessen führen. Nur später wird vielleicht die Absicherung vergessen, der einen exponierten Host vor Angreifern schützt. Schnell werden solche Konfigurationsfehler verhängnisvoll, manchmal hängt es von einem einzigen Semikolon ab. Die Prüfung von Webserver-Konfigurationen durch Conf-Tests und Pen-Tests ist daher unerlässlich.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
