8 Mio. Kundendaten durch MongoDB Datenlack offen / Regierungen betroffen?

MongoDB 3.0 - "Der Fehler ist nicht kompliziert, seine Wirkung ist jedoch katastrophal". Mit diesen kurzen Worten zitiert die Saarbrücker Zeitung den Informatik-Professor Michael Backes, Direktor des Kompetenzzentrum für IT-Sicherheit (CISPA) in Saarbrücken. Gemeint ist die amerikanische opensource-Datenbank MongoDB des Unternehmens MongoDB, Inc.

Immerhin 40.000 Internetanbieter weltweit stützen ihre Datenbanken auf MongoDB. Der Vorteil für die Nutzer ist, dass die Grund-Datenbasis kostenlos ist. Software-Entwickler müssen auf der Grundlage von MongoDB nur noch Anpassungen vornehmen.

MongoDB wird weltweit nach Angaben des Unternehmens durch Financial Services (Finanzdienstleister) angewendet, aber auch durch Governments (Regierungen), High TechRetail (zum Beispiel große Onlineshops) sowie "All Industries" - also sämtliche sonstigen Dienstleister.

Konkret nutzen Kunden MongoDB sowohl für einfache Webseiten-Angebote, als auch für komplexe Anwendungen. MongoDB schreibt, wonach die Datenbanklösung in folgenden Anwendungen integriert sei: "Single View, Internet of Things, MobileReal-Time Analytics, Personalization, Content Management Catalog."

Besonders heikel an dem Datenbankskandal ist, dass MongoDB nicht irgendwer ist, sondern die führende Lösung weltweit für NoSQL-Datenbanken.

Weltbekannte amerikanische Investoren stützen MongoDB

Entsprechend prominent sind die Investoren in MongoDB, wie weltweit in der Internetszene einen Namen haben – fast durchgängig US-Unternehmen. So wird MongoDB von Technologie-Unternehmen sowie Investment-Fonds finanziert, unter anderem durch Altimeter Capital, Fidelity Investments, Flybridge Capital Partners, In-Q-Tel, Intel Capital, NEA, Red Hat, Salesforce.com, Sequoia Capital, Union Square Ventures and T. Rowe Price.

Unter den Millionen Kundendaten, welche auf Grund von Nachlässigkeiten auf Seiten der Entwickler von MongoDB nun offen zu finden waren, seien Namen, Adressen, E-Mails und Kreditkartennummern. Sie seien letztlich offen im Internet abrufbar gewesen. Ob das Datenlack wirklich weltweit geschlossen ist, ist noch nicht klar.

Dass die Schuld direkt bei MongoDB liege, davon ist auch die Saarbrücker Zeitung überzeugt, in deren Einzugsgebiet das Kompetenzzentrum für IT-Sicherheit (CISPA) in Saarbrücken liegt. So schreibt die Zeitung:

Dass Millionen Kundendaten im Internet frei zugänglich gewesen seien, dafür seien nicht Hacker verantwortlich, "sondern die Betreiber der Datenbank MongoDB". Das Unternehmen habe "Fehler bei der Konfiguration der Software gemacht", folgert die Zeitung schlicht.

Fehler bei der Konfiguration von Software? Sollte das der Fall sein, so kann man und muss man von einem skandalösen Fehlverhalten bei MongoDB sprechen. Gleichzeitig wirft es ein weiteres erschreckendes Bild auf die Gleichgültigkeit nicht weniger Amerikaner beim Thema Datenschutz.

Amerikaner scheinen es mit Datenschutz nicht so ernst zu nehmen

Schon die Affäre rund um die amerikanische Regierungs-Hackerbehörde NSA, aufgedeckt durch Edward Snowden, hatte der Weltöffentlich deutlich gemacht, dass die USA es mit dem Datenschutz letztlich nicht ernst nehmen.

Eine solche Sichtweise scheint sich immer mehr auch auf amerikanische Software-Entwickler auszuwirken. Auch Adobe von Adobe Systems Incorporated, immerhin einer der weltgrößten Sofwarehersteller, nervt seit Tagen Millionen Internetnutzer, da in einer auf Millionen Webseiten installierten Flash-Anwendung ebenfalls massive Sicherheitslücken kürzlich entdeckt worden waren.

Für Millionen Webseiten eine Katastrophe: Da Adobe aus den USA seinen Flash Player nicht richtig sicher programmierte, blendet nun der weltweit verbreitete Internet-Browser Mozilla Hunderte Millionen Werbeanzeigen erst einmal aus. Doch ohne Werbeeinnahmen können die meisten Nachrichten-Blogs im Internet nicht existieren. Nur wenn der Nutzer manuell die Blockade aufhebt und auch einmal auf eine Werbeanzeige klickt, können die Journalisten bezahlt werden.

Die Sicherheitslücke war so enorm, dass Mozilla Firefox seitdem fast generell Flash-Anwendungen auf Webseiten erst einmal blockiert, um die wahrscheinlich weit über 500 Millionen Nutzer weltweit vor Viren, Trojanern und Hackern zu schützen (siehe Grafik rechts). Standardmäßig kommt seit Tagen die Fehlermeldung "Firefox hat das Ausführen von Adobe Flash" verhindert.

Das Nachsehen haben die Webseiten und Werbekunden, denn deren Anzeigen werden nicht mehr eingeblendet, denn diese nutzen meist Adobe Flash. Doch nur wenn ein Nutzer einmal auf einer Nachrichtenseite auf eine Werbeanzeige klickt, erhält die Redaktion auch etwas Geld. Gerade für die meisten Blogs ist das überlebenswichtig, da es keine anderen Einnahmen für die Autoren gibt. Seit der Sicherheitslücke in Adobe Flash sinken weltweit bei Hunderttausenden Webseiten nun die dringend notwendigen Werbeeinnahmen. Nur wenn der Nutzer manuell die automatische Blockade im Mozilla Firefox Browser beendet, werden die Werbeanzeigen wieder eingeblendet.

MongoDB habe - und das scheint ursächlich für den neuen Datenskandal aus den USA zu sein - "keinerlei Passwörter angelegt“, was es ermöglicht habe, dass auf Millionen Kreditkartendaten und Email-Adressen letztlich ungehindert zugegriffen werden konnte.

Die Saarbrücker IT-Studenten schreiben, wonach weltweit Unternehmen von dem MongoDB-Datenlack betroffen seien. Genannt wird die Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelefonbetreibers. Hier habe man ungehindert Einblick in die Adressen und Telefonnummern von rund acht Millionen Franzosen erhalten.

Hinzu kämen rund eine halbe Million deutscher Adressen. Dabei hätte man die Datenbank eines deutschen Online-Händlers (welcher bislang nicht bekannt ist) inklusive Zahlungsinformationen ungesichert vorgefunden.

Internationale Koordinationsstelle für IT-Sicherheit ist eingeschaltet

Das MongoDB-Datenproblem sei so groß, dass man teils ungehindert Identitätsdiebstähle durchführen könne, kritisiert Prof. Backes in der Saarbrücker Zeitung: "Wenn diese bekannt werden, plagen sich die betroffenen Personen noch Jahre danach mit Problemen wie beispielsweise Verträgen, die Betrüger in ihrem Namen abgeschlossen haben."

Nach Entdeckung des riesigen Datenlacks haben die Wissenschaftler des CISPA mit dem amerikanischen Hersteller der Software Kontakt aufgenommen, ebenso mit der "Internationalen Koordinationsstellen für IT-Sicherheit" (CERTs). Involviert sind mittlerweile auch die französische Datenschutzbehörde "Commission nationale de l'informatique et des libertés" und das deutsche "Bundesamt für Sicherheit in der Informationstechnik" in Bonn.

Die Datenbank-Lösung MongoDB vom US-Unternehmen MongoDB, Inc. geht auf das Jahr 2009 zurück. Die aktuellste Version der Datenbank ist MongoDB 2.6.7., beziehungsweise MongoDB 3.0. Die erste Version von MongoDB gab es bereits im Jahr 2007, damals lief das Programm noch über das Entwicklungs-Unternehmen 10gen, welches am 27. August 2013 in MongoDB, Inc. umbenannt wurde. Bereits im Jahr 2012 konnte MongoDB von sich behaupten, wonach man die am weitesten verbreitete NoSQL-Datenbank weltweit sei:

Zur IT-Sicherheit schreibt MongoDB: "Wer etwaige Sicherheitsbedenken oder Sicherheitslücken in einem der Produkte MongoDB oder Hosted Services entdeckt", solle dieses "verantwortungsvoll durch die Verwendung eines Fehlerberichts mittels einer der beschriebenen Methoden der Nutzerschaft zugänglich machen".

Es scheint so, als ob die Saarbrücker Studenten des deutschen "Kompetenzzentrum für IT-Sicherheit" (CISPA) nun einen solchen Fehlerbericht an die amerikanischen Entwickler der MongoDB übermittelt haben.