11.02.2015, 11:17 Uhr | 0 |

Sorglose Anwender Studenten finden 40.000 ungesicherte Datenbanken im Netz

Hacken? Spionieren? Gar nicht nötig. Drei Saarbrücker Studenten haben fast 40.000 Datenbanken im Internet gefunden, die ohne jede Sicherung betrieben wurden – unter anderem bei Online-Shops. Persönliche Daten bis hin zur Kreditkartennummer konnten sie nicht nur einsehen, sondern sogar manipulieren. Der Fehler liegt offenbar nicht primär beim Anbieter der Open-Source-Software, sondern bei allzu sorglosen Anwendern.

Symbolbild ungesicherter Datenfluss
Á

Saarbrücker Studenten haben knapp 40.000 ungesicherte Datenbanken im Web entdeckt, über die Namen, Adressen, E-Mails und Kreditkartennummern der Nutzer abgerufen werden können.

Foto: Jens Wolf/dpa

Eigentlich wollten die drei Informatik-Studenten Kai Greshake, Eric Petryka und Jens Heyens nur eine kostenlose Online-Datenbank finden, um Informationen für eine gemeinsame Hausarbeit problemlos teilen zu können. Besonders praktisch und einfach erschien ihnen MongoDB, eine beliebte Open-Source-Software. Um sie zu testen, fahndeten sie über eine bekannte Suchmaschine nach MongoDB-Servern. So fanden sie die IP-Adressen, unter denen die Datenbanken liefen.  Sie riefen ein paar dieser Adressen auf. Und dann riefen sie Ende Januar schnell mal ihren Professor an.

Der staunte mit ihnen. Denn die Datenbanken hatten keinerlei Sicherung, die drei Besucher erhielten sogar Administratorenrechte, ohne irgendein Passwort zu brauchen. Nutzerdaten wie Namen, Adressen, sogar Kreditkartennummern waren frei zugänglich.

Fehler auch bei großem Unternehmen

Als Ursache ermittelten die Experten einen Fehler bei der Konfiguration der Datenbanken. „Der ist nicht kompliziert, seine Wirkung ist jedoch katastrophal“, sagt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes. Er ist zugleich Direktor des Saarbrücker Kompetenzzentrums für IT-Sicherheit (CISPA).

Mit IT-Sicherheit hatte das, was da vor ihnen lag, aber so gar nichts zu tun. Und den entscheidenden kleinen Fehler machten nicht nur private Nutzer, die vielleicht wenig Ahnung haben. Millionen von Online-Shops und Plattformen weltweit böten über MongoDB ihre Dienste an, sagt Backes. Und bei fast 40.000 davon seien die Daten ungesichert gewesen – darunter auch ein großer französischer Mobilfunk- und Internetanbieter, bei dem die Tester nach eigenen Angaben rund acht Millionen Kundendaten einsehen konnten. Eine halbe Million davon seien deutsche Nutzer gewesen.

Hersteller soll Anleitung überarbeiten

Auch die Datenbank eines deutschen Online-Händlers sei ungesichert gewesen, einschließlich der Zahlungsinformationen. „Die darin gespeicherten Daten reichen aus, um Identitätsdiebstähle durchzuführen. Selbst wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben“, sagt Backes.

„Halten sich die Betreiber bei der Installation blind an die Leitfäden und bedenken nicht entscheidende Details, stehen die Daten schutzlos im Internet“, erklärt das Institut. Der Fehler liegt also primär beim Anwender – dennoch hat das CISPA den Hersteller dringend aufgefordert, seine Bedienungsanleitung zu überarbeiten. Eine Warnung vor dem Problem sucht man auf dessen Homepage bislang allerdings vergebens.

Anzeige
Von Werner Grosch
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden