Abo
  • Services:

MongoDB-Leck: Sicherheitscheck gegen Konfigurationsfehler

Der MongoDB-Hersteller hat eine übersichtliche Checkliste veröffentlicht, wie Installationen der Datenbank abgesichert werden können. Die Verantwortung für die jüngst entdeckten Datenlecks will er aber nicht übernehmen.

Artikel veröffentlicht am ,
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können.
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können. (Bild: MongoDB)

Nach den jüngst gemeldeten Datenlecks in MongoDB hat jetzt der Hersteller reagiert und einen Sicherheitscheck für seine Datenbank veröffentlicht. Mit ihm können Benutzer künftig überprüfen, ob ihre Installation der NoSQL-Datenbank sicher ist. Eine Verantwortung für die Datenlecks lehnt der Hersteller jedoch kategorisch ab.

Stellenmarkt
  1. Hella Gutmann Solutions GmbH, Ihringen
  2. Spiegel-Verlag Rudolf Augstein GmbH & Co. KG, Hamburg

"Da es in Teilen der Presse missverständlich wiedergegeben wurde, möchten wir noch einmal darauf hinweisen, dass für die ungesicherten Datenbanken nicht MongoDB Inc. verantwortlich ist, sondern Betreiber der Open Source Software MongoDB, die diese falsch konfiguriert haben", heißt es auf der Webseite des Unternehmens. Außerdem könne der Datenbankhersteller aus Datenschutzgründen einzelne Betreiber nicht identifizieren und ausschließen, dass diese betroffen seien. Das Unternehmen habe aber das CERT und das BSI informiert.

Falsch gesetzte Bind-Adresse

Laut MongoDB hat ein Konfigurationsfehler dazu geführt, dass die Konfigurationsoberfläche der betroffenen Installationen über das Internet erreichbar war. Bei der Installation sei das nicht möglich, da standardmäßig localhost als Bind-Adresse und auch die Verwaltungsoberfläche an den lokalen Rechner gebunden ist. Zumindest unter Ubuntu ist das tatsächlich der Fall.

Zu den Ratschlägen, die der Datenbankhersteller veröffentlicht hat, gehört die Konfiguration von Benachrichtigungen in der Verwaltungskonsole. So erhält der Anwender einen Warnhinweis, wenn die Datenbank vom Internet aus erreichbar ist. Weitere Schutzmaßnahmen sind eine Verschlüsselung der Daten und das korrekte Setzen von Benutzerrechten. Der Link zu dem Sicherheitscheck weist auf das Online-Handbuch der Datenbank.

Im Zuge einer Untersuchung hatten Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) in Saarbrücken nach eigenen Angaben weltweit mehrere Tausend offene MongoDB-Konfigurationen entdeckt. Sie suchten nach offenen Ports. Unter den falsch konfigurierten Datenbankinstallationen soll sich auch ein französisches Telekommunikationsunternehmen befinden. Die Studenten hätten sich so Zugriff auf mehrere Millionen Kundendaten verschaffen können.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 9,99€

Slomo97 18. Feb 2015

Oder anders gesagt: "NoSQL & Big Data - Software von Idioten für Idioten" Da wird schnell...

foobarJim 17. Feb 2015

Jein. Per Default ist die mongodb nur an 127.0.0.1 gebunden. Aber es gibt keine...


Folgen Sie uns
       


BMW i3s - Test

Er ist immer noch ein Hingucker: Der knallrote BWM i3s zieht die Blicke anderer Verkehrsteilnehmer auf sich. Doch man muss sich mit dem Hinschauen beeilen. Denn das kleine Elektroauto der Münchner ist mit 185 PS ziemlich flott in der Stadt unterwegs.

BMW i3s - Test Video aufrufen
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
    Business-Festival
    Cebit verliert 70.000 Besucher und ist hochzufrieden

    Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

    1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

    Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
    Kreuzschifffahrt
    Wie Brennstoffzellen Schiffe sauberer machen

    Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
    Von Werner Pluta

    1. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
    2. Roboat MIT-Forscher drucken autonom fahrende Boote
    3. Elektromobilität Norwegen baut mehr Elektrofähren

      •  /