Ein Authentifizierungsfehler in der freien NoSQL-Datenbank MongoDB machte Microsofts mobile Karriere-Website anfällig für Angriffe. Theoretisch konnte darüber schädlicher HTML-Code ausgeliefert werden, wie es im MacKeeper-Blog heißt. Inzwischen wurde die Lücke geschlossen.
Mögliche Folgen waren neben Wasserloch-Angriffen auch Browser-Exploits und Phishing-Kampagnen, die theoretisch über die Datenbank an Jobsuchende ausgeliefert werden konnten. Zusätzlich wurden die Zugangsdaten von Microsoft-Angestellten mit Zugriff auf die Datenbank offengelegt.
Microsoft war aber warhscheinlich nicht das einzige Unternehmen, dass von dem Authentifizierungsfehler in der MongoDB-Datenbank betroffen war. Screenshots der offengelegten Daten deuten darauf hin, dass auch die Hotelketten Ritz und Marriot dem Bug zum Opfer gefallen sein könnten.
Schon zum 5. Februar war die Schwachstelle beseitigt worden. Punchkick Interactive soll innerhalb einer Stunde reagiert haben, nachdem ihm und Microsoft das Problem gemeldet worden war. Das MacKeeper-Team lobt das Vorgehen als „exzellente Reaktion auf eine Sicherheitsverletzung“. Zugleich merkt es aber an: „Die schlechte Nachricht ist, dass diese Backend-Datenbank in den letzten Wochen offen im Internet stand und keine Authentifizierung für den Zugriff benötigte.“
Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.
Die Verantwortung liegt hier nicht bei Microsoft, sondern bei dem für die Verwaltung der Mobilplattform und des Backend-Systems zuständigen Dienstleisters. Der Vorfall macht aber deutlich, dass ein schwaches Glied in der Kette jedes mit einem Dienst verbundenes Unternehmen betreffen kann.
Schon im Februar 2015 hatten Studenten der Universität des Saarlandes einen häufigen Konfigurationsfehler bei MongoDB aufgedeckt, durch den tausende Datenbanken ungesichert im Internet standen. Theoretisch konnte dadurch jedermann Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern online abrufen oder sogar verändern. Im März letzten Jahres warnte dann Trend Micro vor einer Zero-Day-Lücke im kostenlosen „PHP MongoDB Administration Tool“, die es Angreifern ermöglichte, per Fernzugriff ohne Authentifizierung die Kontrolle über einen MongoDB-Server zu übernehmen und beliebigen Code auszuführen.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
