MongoDB-Leck: Sicherheitscheck gegen Konfigurationsfehler

Der MongoDB-Hersteller hat eine übersichtliche Checkliste veröffentlicht, wie Installationen der Datenbank abgesichert werden können. Die Verantwortung für die jüngst entdeckten Datenlecks will er aber nicht übernehmen.

Artikel veröffentlicht am ,
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können.
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können. (Bild: MongoDB)

Nach den jüngst gemeldeten Datenlecks in MongoDB hat jetzt der Hersteller reagiert und einen Sicherheitscheck für seine Datenbank veröffentlicht. Mit ihm können Benutzer künftig überprüfen, ob ihre Installation der NoSQL-Datenbank sicher ist. Eine Verantwortung für die Datenlecks lehnt der Hersteller jedoch kategorisch ab.

"Da es in Teilen der Presse missverständlich wiedergegeben wurde, möchten wir noch einmal darauf hinweisen, dass für die ungesicherten Datenbanken nicht MongoDB Inc. verantwortlich ist, sondern Betreiber der Open Source Software MongoDB, die diese falsch konfiguriert haben", heißt es auf der Webseite des Unternehmens. Außerdem könne der Datenbankhersteller aus Datenschutzgründen einzelne Betreiber nicht identifizieren und ausschließen, dass diese betroffen seien. Das Unternehmen habe aber das CERT und das BSI informiert.

Falsch gesetzte Bind-Adresse

Laut MongoDB hat ein Konfigurationsfehler dazu geführt, dass die Konfigurationsoberfläche der betroffenen Installationen über das Internet erreichbar war. Bei der Installation sei das nicht möglich, da standardmäßig localhost als Bind-Adresse und auch die Verwaltungsoberfläche an den lokalen Rechner gebunden ist. Zumindest unter Ubuntu ist das tatsächlich der Fall.

Zu den Ratschlägen, die der Datenbankhersteller veröffentlicht hat, gehört die Konfiguration von Benachrichtigungen in der Verwaltungskonsole. So erhält der Anwender einen Warnhinweis, wenn die Datenbank vom Internet aus erreichbar ist. Weitere Schutzmaßnahmen sind eine Verschlüsselung der Daten und das korrekte Setzen von Benutzerrechten. Der Link zu dem Sicherheitscheck weist auf das Online-Handbuch der Datenbank.

Im Zuge einer Untersuchung hatten Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) in Saarbrücken nach eigenen Angaben weltweit mehrere Tausend offene MongoDB-Konfigurationen entdeckt. Sie suchten nach offenen Ports. Unter den falsch konfigurierten Datenbankinstallationen soll sich auch ein französisches Telekommunikationsunternehmen befinden. Die Studenten hätten sich so Zugriff auf mehrere Millionen Kundendaten verschaffen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cherrypicking bei Fahrdiensten
Uber-Fahrer, die nicht kommen

Die Unsitte, den Fahrgast anzurufen, um das Fahrziel herauszubekommen, schwappt von Free Now auch zu Uber über. Es hilft nur, eine Stunde früher aufzustehen, oder besser: ein Update der Apps.
Ein Erfahrungsbericht von Achim Sawall

Cherrypicking bei Fahrdiensten: Uber-Fahrer, die nicht kommen
Artikel
  1. Custom Keyboard: Youtuber baut riesige Tastatur für 13.500 Euro
    Custom Keyboard
    Youtuber baut riesige Tastatur für 13.500 Euro

    Die Switches haben das 64-fache Volumen und das Gehäuse ist menschenhoch: Ein Youtuber baut eine absurd große Tastatur für absurd viel Geld.

  2. Mit Keychron: Oneplus stellt mechanische Tastatur vor
    Mit Keychron
    Oneplus stellt mechanische Tastatur vor

    Oneplus' Featuring Keyboard 81 hat ein 75-Prozent-Layout, ist voll programmierbar und kommt mit Tastaturkappen, die besonders griffig sein sollen.

  3. Microsoft: Bing bekommt ChatGPT-Integration und kann getestet werden
    Microsoft
    Bing bekommt ChatGPT-Integration und kann getestet werden

    Microsoft hat KI-basierte Updates für die Bing-Suchmaschine und den Edge-Browser angekündigt. Die Beta ist schon verfügbar.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Powercolor RX 7900 XTX 1.119€ • WSV-Finale bei MediaMarkt • Samsung 980 Pro 2TB (PS5-komp.) 174,99€ • MSI RTX 4080 1.349€ • Samsung 55" 4K QLED Curved Gaming-Monitor -25% • Asus RX 7900 XT 939,90€ • DAMN-Deals: AMD CPUs zu Tiefstpreisen • PCGH Cyber Week nur bis 9.2. [Werbung]
    •  /