Über 35.000 offene MongoDB-Datenbanken im Internet

Ich hatte schon am 10. Februar dieses Jahres darüber berichtet, jetzt steht es auch bei Tante Heise: Weltweit sind mehr als 35.000 MongoDB-Datenbanken öffentlich über das Internet erreichbar, davon auch rund 1.200 in Deutschland. Dabei kann jedermann auf die rund 685 Terabyte umfassenden Datenbestände zugreifen. Davor warnt John Matherly, der Schöpfer von Shodan, der Suchmaschine für Systeme, die über das Internet erreichbar sind. Schuld ist die Default-Einstellung der Datenbank, die davon ausgeht, daß sie auf localhost läuft und nur intern mit anderen kommuniziert. Ich schrieb damals:

Läuft nun die Datenbank auf einem anderen Rechner, im Netz oder gar in der Cloud, sollte man nicht nur die IP-Adresse ändern, sondern auch eine Zugangskontrolle einführen. Das gehört zum Grundwissen eines jeden Systemadministrators.

Im Februar wurden knapp 40.000 offenen Datenbanken eher per Zufall von Studenten der Universität Saarland entdeckt, vergleicht man dies mit den Zahlen von heute, scheinen fast alle Betreiber das Sicherheitsrisiko immer noch zu ignorieren.

Aber es ist nicht nur MongoDB: Matherly weist darauf hin, daß auch andere Datenbanken, wie zum Beispiel Cassandra, CouchDB, Redis oder Riak offen im Internet stehen. Ich glaube, man sollte dringend etliche Systemadministratoren zu einer Nachschulung in punkto Sicherheit schicken. Oder sich in den Firmen überlegen, ob es nicht doch ein Fehler war, erfahrene Systemadministratoren einzusparen und sie durch ungeschultes Personal zu ersetzen. [heise Open Source]

(Kommentieren)