Massive Sicherheitslücke: Millionen Kundendaten gefährdet
Millionen Kundendaten schutzlos im Netz
Bild: dpa
Studenten aus Saarbrücken haben eine
schwerwiegende Sicherheitslücke im Internet entdeckt. "Jedermann
konnte mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und
Kreditkartennummern im Internet abrufen oder gar verändern", teilte
die Universität Saarbrücken mit. Ursache sei eine falsch
konfigurierte frei verfügbare Datenbank-Software, auf der weltweit
Millionen von Online-Shops und Plattformen ihre Dienste aufbauen.
Die Lücke betrifft nach Erkenntnissen der Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) knapp 40 000 Datenbanken. Bei dem falsch implementierten Programm handelt es sich um die populäre Datenbank MongoDB, die als offene Software kostenlos verwendet werden kann. "Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet", erklärten die Saarbrücker Forscher. Das Kompetenzzentrum habe Hersteller und Datenschützer informiert.
Halbe Million deutscher Adressen ungesichert
Millionen Kundendaten schutzlos im Netz
Bild: dpa
Die Datenbank wird von der gleichnamigen Firma MongoDB entwickelt, die
sich als internationales Unternehmen mit US-Hauptquartieren in New
York und Palo Alto sowie einer internationalen Zentrale in der
irischen Hauptstadt Dublin versteht. MongoDB verdient das Geld mit
Serviceleistungen für über 2 000 Großkunden und hatte erst im
vergangenen Januar eine Finanzspritze von 80 Millionen Dollar von
Investoren für die Umsetzung einer internationalen Wachstumsstrategie
erhalten.
"Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal", erklärte Informatik-Professor Michael Backes, Direktor des CISPA. Die Lücke betreffe eine hohe Anzahl von Datenbanken, die im Internet ohne jegliche Schutzmechanismen zu erreichen seien. Drei CISPA-Studenten hätten über eine Suchmaschine nach MongoDB-Servern und Diensten gesucht. Bei vielen Suchtreffern sei der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen. "Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein", erklärte Backes.
Zu den betroffenen Websites gehörte demnach auch die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefonie-Betreibers, die die Adressen und Telefonnummern von rund acht Millionen Franzosen enthielt. Laut Aussage der Studenten befinden sich darunter auch eine halbe Million deutscher Adressen. Die Datenbank eines deutschen Online-Händlers inklusive Zahlungsinformationen hätten sie ebenfalls ungesichert vorgefunden.