Millionen Kreditkarten-Nummern ungeschützt im Web

Drei Studenten aus Saarbrücken stolperten eher zufällig über eine gefährliche Sicherheitslücke. Millionen Kundendaten, also Namen, Adressen, Mails und Kreditkartennummern, standen für jeden frei einsehbar im Web. Die Lücke soll knapp 40 000 Datenbank-Installationen betreffen, teilte das Kompetenzzentrum für IT-Sicherheit (CISPA) in Saarbrücken mit. Einige Datenbank-Admins der betroffenen Systeme hätten die Sicherheitslecks zurzeit immer noch nicht geschlossen. Beim geleakten System handelt es sich um die Open-Source-Datenbank MongoDB, eine Art «Rising Star» am Datenbankhimmel. MongoDB gilt als typischer Vertreter der modernen NOSQL-Datenbankfraktion. Sie ist dokumentenzentriert (JSON-Format), also immer dann besonders stark, wenn es um Mails, Texte, Social Media und Dokumente geht. Von den Vorteilen der Software konnte der gleichnamige Anbieter MongoDB bislang 2000 Grosskunden weltweit überzeugen. Im vergangenen Jahr hatte das Unternehmen von Investoren eine Finanzspritze in Höhe von 80 Millionen Dollar erhalten, auch um seine internationale Wachstumsstrategie voranzutreiben.

Die jetzt bekannt gewordenen Sicherheitslücken kommen also zum denkbar ungünstigsten Zeitpunkt. Auch die Datenbanken eines französischen Internet-Anbieters und Mobiltbetreibers und eines deutschen Online-Händlers sollen betroffen sein. Von Schweizer Opfern ist bislang nichts bekannt. Die Sicherheitslücke ist jedoch kein Fehler im System, sondern eher einer Unachtsamkeit geschuldet. Die meisten MongoDB-Distributionen installieren die Datenbank so, dass Zugriffe lediglich vom lokalen System, wo die Software installiert wurde und läuft, möglich sind. Das ist das Standard-Installationsprozedere. Passwörter werden im Standard nicht eingerichtet und sind auch nicht notwendig. Lagert der Systemadmin aber MongoDB auf einen anderen Server aus und erlaubt den Zugriff von aussen, fehlt der Passwortschutz. Bei stark ausgelasteten Datenbanken wird diese Strategie oft angewandt. Schweizer MongoDB-Kunden sollten ihre Systeme also dringend auf notwendige Sicherheitsmechanismen überprüfen. Auch der Anbieter MongoDB steht in der Pflicht. Die Standard-Installationsroutine ist für den Business-Einsatz nicht geeignet und muss angepasst werden.