(Bild: Screenshot)
Zehntausende MongoDB-Datenbanken stehen ungesichert im Internet und jedermann kann sich durch die Datenbestände klicken. Daran sind vor allem unsichere Konfigurationen schuld.
Weltweit sind mehr als 35.000 MongoDB-Datenbanken öffentlich über das Internet erreichbar. Dabei kann jedermann auf die rund 685 Terabyte umfassenden Datenbestände zugreifen. Davor warnt John Matherly, der Schöpfer von Shodan, der Suchmaschine für Systeme, die über das Internet erreichbar sind.
Über 14.000 der offenen MongoDB-Datenbanken finden sich der Suchmaschine zufolge in den USA, in Deutschland sind rund 1.200 Datenbanken ohne Authentifizierung zugänglich. Ein Großteil wird Matherly zufolge von Amazon.com und Digital Ocean gehostet.
Unsichere Konfigurationen
Laut den Nachforschungen von Matherly kommt bei vielen MongoDB-Nutzer die Version 3.0.7 zum Einsatz. Aber auch Ableger der Version 2 sind noch weit verbreitet. Da neuere Versionen der Open-Source-Datenbank standardmäßig keine Verbindungen von außen zu lassen, setzen viele Nutzer offensichtlich auf unsichere Konfigurationen. Dabei lässt Port 27017 Verbindungen aus dem Internet zu.
Matherly weist zudem darauf hin, dass nicht nur MongoDB von der Problematik betroffen ist, denn auch viele Cassandra-, CouchDB-, Redis- und Riak-Datenbanken stehen offen im Internet. (des)