MongoDB: Fehlkonfigurierung offeriert Millionen Kundendaten

Ich nehme das Thema mal in den Blog rein, haben wir doch heute “Safer Internet Day” und heise.de berichtet hier über ein BSI-Poster für mehr Sicherheit im Netz. Das Poster ist aber eindeutig zu spät in Umlauf gekommen, denn momentan stehen weltweit Millionen auf MongoDB-Servern gespeicherte Kundendaten für unautorisierte Dritte zum Abruf bereit.


Anzeige

Ursache ist ein Konfigurationsfehler bei vielen Installationen der Open Source-Datenbank MongoDB. Übernimmt der Administrator der Datenbank die Default-Einstellungen und sind im Netzwerk keine weiteren Zugriffsregeln für Datenbank-Zugriffe vorhanden, kann man an Hand der IP-Adresse ohne weitere Authentifizierung auf die MongoDB-Daten zugreifen. Aufgedeckt wurde das Ganze von drei Studenten am Kompetenzzentrum für IT-Sicherheit an der Universität des Saarlandes.

(Offene MongoDB-Installationen, Quelle: Bericht der Uni Saarbrücken)

Die von den drei Studenten erstellte Dokumentation vom Januar 2015 lässt sich hier als PDF-Dokument abrufen. Neben Frankreich, wo z.B. ein Mobilfunk-Provider Kundendaten in MongoDB speichert, scheint auch Deutschland besonders betroffen. Aber auch in den USA und und in Asien sind einige offene MongoDB-Datenbanken gemäß obiger Grafik zu finden. Die Details könnt ihr hier bei heise.de oder hier auf FAZ.net nachlesen.

Nachtrag: Nach Veröffentlichung des Beitrags erreichte mich ein Kommentar von Tenable Network Security, den ich euch nicht vorenthalten will – vielleicht ist ja ein Administrator einer MongoDB-Installation unter den Blog-Lesern.

MongoDB – Kommentar von Gavin Millard, Tenable Network Security

Im Bereich IT-Infrastruktur findet derzeit enormes ein Wachstum statt. Zudem können Systeme wie MongoDB äußerst einfach über Cloud-Provider aufgesetzt werden. Daher verwundert es kaum, dass der Zugriff auf Systeme, auf denen sich kritischen Daten befinden, einfach sein kann, da diese oft nicht einmal mit rudimentärsten Sicherheitsvorkehrungen ausgestattet wurden.

Es gibt bereits zahlreiche bewährte Methoden (mehr dazu auch in einer Blog Post auf dem Tenable Blog) zur Konfiguration von MongoDB, darunter rollenbasierte Zugangskontrollen, Authentifizierung und die Verringerung der Sichtbarkeit des Netzwerks. Tools wie Nessus können Vorfälle automatisch erkennen und darüber hinaus auch klären, ob alle Sicherheitsrichtlinien befolgt werden. Allerdings nutzen zahlreiche Unternehmen noch nicht einmal grundlegendste Tools zur Asset-Erkennung oder zur Konfigurationsverwaltung, mit denen sich Bedrohungen wie diese verhindern lassen könnten.

Gavin Millard ist Hacker und Technical Director EMEA bei Tenable Network Security.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.