Sicherheitsleck bei MongoDB betrifft Millionen Domains

13. Februar 2015 | Von | Kategorie: Domain News, Domain Sicherheit

Millionen Kundendaten auf ungesicherten Domains frei zugänglich

Ein neues Sicherheitsproblem ist öffentlich geworden, dass auch Deutschland betrifft. Millionen Kundendaten von Shoppingdomains sind im Internet frei zugänglich für jedermann. Ein Albtraum für Datenschützer und Domain-Nutzer weltweit.

Studenten der CISPA Saarbrücken haben das Datenleck eher zufällig entdeckt. Ein Software Fehler hat die Datenbanken von MongoDB frei zugänglich gemacht. Der Domaingigant stellt eine Plattform zur Verfügung, auf der Shopping-Domains weltweit aufbauen und Kundendaten verwalten lassen.

MongoDB ist ein amerikanischer Software-Hersteller mit Firmensitzen in New York, Palo Alto und Dublin, der mehr als 2.000 internationale Großkunden – u.a. eBay oder SAP – weltweit betreut. Um mehr internationales Wachstum und Kundenzuläufe zu generieren, steckten Investoren im Jahr 2014 noch einmal 80 Millionen USD in das Unternehmen. Jetzt der Super-Gau in der Datenbank. Ein eher simpler Fehler mit verheerender Wirkung.

Das Sicherheitsleck betrifft Millionen Datensätze inklusive Personendaten, Kontendaten oder Kreditkartennummern. Darunter sind mehr als acht Millionen Datensätze eines Mobilfunkanbieters in Frankreich und ca. 500.00 Datensätze aus Deutschland, die vorwiegend aus großen Shoppingportalen stammen.

Die Studenten konnten nicht nur problemlos an die Kundendaten für Domainzugänge gelangen, sie hätten sie auch jederzeit beliebig verwenden oder verändern können, da bei Suchvorgängen die Zugänge weder abgesichert waren noch am Ende geschlossen wurden.

Betroffen sind mehr als 40.000 Online-Shopping-Domains und andere Servicedomains, die auf der kostenlosen Software von MongoDB aufbauen. Wenn sich die Domainbetreiber bei der Verwendung der Software an den Leitfaden halten und keine eigenen Sicherheitsmaßnahmen treffen, sind die Daten in der Zukunft ungeschützt. Die CISPA hat festgestellt, dass auch deutsche Kundendaten betroffen sind und eine Fehlermeldung an MongoDB sowie eine Information an die Datenschutzbehörden geschickt.

Diese Sicherheitspanne macht wieder einmal deutlich, wie wichtig Datensicherheit heute ist. Software-Anbieter sollten wieder mehr Zeit und Geld in die Domainsicherheit investieren und auch deutlich mehr Testläufe oder „Einbruchsversuche“ von IT Spezialisten vornehmen.

Domainbesitzer müssen auf der Suche nach sicherer und funktioneller Software nicht nur auf den Preis achten (Geiz ist nicht immer geil), sondern die Folgen von Domainkriminalität bedenken. Gibt es später ein Sicherheitsleck auf der Domain mit fehlerhafter oder unsicherer Software, gehen nicht nur Daten und Gelder, sondern auch die Kunden verloren, die sich oft von unsicheren Online-Domains abwenden.

 

Wolfgang Wild Domainsmalltalk

Schreibe einen Kommentar