Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

MongoDB-Leck: Sicherheitscheck gegen Konfigurationsfehler

Der MongoDB-Hersteller hat eine übersichtliche Checkliste veröffentlicht, wie Installationen der Datenbank abgesichert werden können. Die Verantwortung für die jüngst entdeckten Datenlecks will er aber nicht übernehmen.
/ Jörg Thoma
4 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können. (Bild: MongoDB)
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können. Bild: MongoDB

Nach den jüngst gemeldeten Datenlecks in MongoDB hat jetzt der Hersteller reagiert und einen Sicherheitscheck für seine Datenbank veröffentlicht(öffnet im neuen Fenster). Mit ihm können Benutzer künftig überprüfen, ob ihre Installation der NoSQL-Datenbank sicher ist. Eine Verantwortung für die Datenlecks lehnt der Hersteller jedoch kategorisch ab.

"Da es in Teilen der Presse missverständlich wiedergegeben wurde, möchten wir noch einmal darauf hinweisen, dass für die ungesicherten Datenbanken nicht MongoDB Inc. verantwortlich ist, sondern Betreiber der Open Source Software MongoDB, die diese falsch konfiguriert haben", heißt es auf der Webseite des Unternehmens. Außerdem könne der Datenbankhersteller aus Datenschutzgründen einzelne Betreiber nicht identifizieren und ausschließen, dass diese betroffen seien. Das Unternehmen habe aber das CERT und das BSI informiert.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Sachbearbeiterin / Sachbearbeiter Netz- und Standortbetreuung/ Objektfunkversorgung (w/m/d) Polizei Berlin, Berlin (öffnet im neuen Fenster)
Veeva Vault Owner (m/w/d) Aenova Group, Starnberg (öffnet im neuen Fenster)
Adobe Experience Manager (m/w/d) - Backend Entwicklung SIGNAL IDUNA Gruppe, Hamburg (öffnet im neuen Fenster)
SAP Solution Consultant Scheduling (w/m/d) SEW-EURODRIVE GmbH & Co KG, Bruchsal (öffnet im neuen Fenster)
Specialist Analysts (w/m/d) - Schwerpunkt Daten IT-Systemhaus der Bundesagentur für Arbeit, Krefeld,Bochum,Chemnitz,Berlin,Lübeck,Fürth,Nürnberg,Düsseldorf,Mainz,Hannover (öffnet im neuen Fenster)
SAP Consultant (m/w/d) mit Schwerpunkt S4/HANA Ondal Medical Systems GmbH, Hünfeld (öffnet im neuen Fenster)
Platform Engineer (m/w/d) TenneT TSO GmbH, Lehrte,Bayreuth (öffnet im neuen Fenster)
Teamleitung (m/w/d) Anwendungsmanagement und Entwicklung Ärztekammer Westfalen-Lippe (ÄKWL), Münster (öffnet im neuen Fenster)

Falsch gesetzte Bind-Adresse

Laut MongoDB hat ein Konfigurationsfehler dazu geführt, dass die Konfigurationsoberfläche der betroffenen Installationen über das Internet erreichbar war. Bei der Installation sei das nicht möglich, da standardmäßig localhost als Bind-Adresse und auch die Verwaltungsoberfläche an den lokalen Rechner gebunden ist. Zumindest unter Ubuntu ist das tatsächlich der Fall.

Zu den Ratschlägen, die der Datenbankhersteller veröffentlicht hat, gehört die Konfiguration von Benachrichtigungen in der Verwaltungskonsole. So erhält der Anwender einen Warnhinweis, wenn die Datenbank vom Internet aus erreichbar ist. Weitere Schutzmaßnahmen sind eine Verschlüsselung der Daten und das korrekte Setzen von Benutzerrechten. Der Link zu dem Sicherheitscheck weist auf das Online-Handbuch der Datenbank.

Im Zuge einer Untersuchung hatten Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) in Saarbrücken nach eigenen Angaben weltweit mehrere Tausend offene MongoDB-Konfigurationen entdeckt(öffnet im neuen Fenster). Sie suchten nach offenen Ports. Unter den falsch konfigurierten Datenbankinstallationen soll sich auch ein französisches Telekommunikationsunternehmen befinden. Die Studenten hätten sich so Zugriff auf mehrere Millionen Kundendaten verschaffen können.

Zur Startseite 4 Kommentare

Relevante Themen

Open SourceSoftwareUnternehmenssoftwareSoftwareentwicklungPolitikDatenschutzSecuritySicherheitslücke