Studenten entdecken Millionen Kundendaten ungesichert im Netz

Die Sicherheitslücke betrifft knapp 40.000 Datenbanken, ihre Daten sind ungesichtert abrufbar.
© picture alliance / Sven Simon, FrankHoermann/SVEN SIMON

12. Februar 2015 - 7:39 Uhr

Datenbank-Fehler mit "katastrophaler Wirkung"

Studenten aus Saarbrücken haben eine schwerwiegende Sicherheitslücke im Internet entdeckt. "Jedermann konnte mehrere Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern im Internet abrufen oder gar verändern", teilte die Universität Saarbrücken mit.

Ursache sei eine falsch konfigurierte frei verfügbare Datenbank-Software, auf der weltweit Millionen von Online-Shops und Plattformen ihre Dienste aufbauen. Die Lücke betrifft nach Erkenntnissen der Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) knapp 40.000 Datenbanken.

Bei dem falsch implementierten Programm handelt es sich um die populäre Datenbank MongoDB, die als offene Software kostenlos verwendet werden kann. "Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet", erklärten die Saarbrücker Forscher. Das Kompetenzzentrum habe Hersteller und Datenschützer informiert.

"Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal", erklärte Informatik-Professor Michael Backes, Direktor des CISPA. Die Lücke betreffe eine hohe Anzahl von Datenbanken, die im Internet ohne jegliche Schutzmechanismen zu erreichen seien. Drei CISPA-Studenten hätten über eine Suchmaschine nach MongoDB-Servern und Diensten gesucht. Bei vielen Suchtreffern sei der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen.