Ich hatte schon am 10. Februar dieses Jahres darüber berichtet, jetzt steht es auch bei Tante Heise: Weltweit sind mehr als 35.000 MongoDB-Datenbanken öffentlich über das Internet erreichbar, davon auch rund 1.200 in Deutschland. Dabei kann jedermann auf die rund 685 Terabyte umfassenden Datenbestände zugreifen. Davor warnt John Matherly, der Schöpfer von Shodan, der Suchmaschine für Systeme, die über das Internet erreichbar sind. Schuld ist die Default-Einstellung der Datenbank, die davon ausgeht, daß sie auf localhost
läuft und nur intern mit anderen kommuniziert. Ich schrieb damals:
Läuft nun die Datenbank auf einem anderen Rechner, im Netz oder gar in der Cloud, sollte man nicht nur die IP-Adresse ändern, sondern auch eine Zugangskontrolle einführen. Das gehört zum Grundwissen eines jeden Systemadministrators.
Im Februar wurden knapp 40.000 offenen Datenbanken eher per Zufall von Studenten der Universität Saarland entdeckt, vergleicht man dies mit den Zahlen von heute, scheinen fast alle Betreiber das Sicherheitsrisiko immer noch zu ignorieren.
Aber es ist nicht nur MongoDB: Matherly weist darauf hin, daß auch andere Datenbanken, wie zum Beispiel Cassandra, CouchDB, Redis oder Riak offen im Internet stehen. Ich glaube, man sollte dringend etliche Systemadministratoren zu einer Nachschulung in punkto Sicherheit schicken. Oder sich in den Firmen überlegen, ob es nicht doch ein Fehler war, erfahrene Systemadministratoren einzusparen und sie durch ungeschultes Personal zu ersetzen. [heise Open Source]
Über …
Der Schockwellenreiter ist seit dem 24. April 2000 das Weblog digitale Kritzelheft von Jörg Kantel (Neuköllner, EDV-Leiter, Autor, Netzaktivist und Hundesportler — Reihenfolge rein zufällig). Hier steht, was mir gefällt. Wem es nicht gefällt, der braucht ja nicht mitzulesen. Wer aber mitliest, ist herzlich willkommen und eingeladen, mitzudiskutieren!
Alle eigenen Inhalte des Schockwellenreiters stehen unter einer Creative-Commons-Lizenz, jedoch können fremde Inhalte (speziell Videos, Photos und sonstige Bilder) unter einer anderen Lizenz stehen.
Der Besuch dieser Webseite wird aktuell von der Piwik Webanalyse erfaßt. Hier können Sie der Erfassung widersprechen.
Diese Seite verwendet keine Cookies. Warum auch? Was allerdings die iframes
von Amazon, YouTube und Co. machen, entzieht sich meiner Kenntnis.
Werbung