Die hochriskante Sicherheitslücke in der Datenbank MongoDB, die um Weihnachten herum bekannt und seitdem bereits angegriffen wurde, lässt sich mit aktualisierter Software oder Konfigurationsänderungen schließen. Zu Silvester waren jedoch noch zigtausend potenziell verwundbare Instanzen im Netz erreichbar. Die Untersuchung, ob die eigenen Server bereits angegriffen und möglicherweise gar kompromittiert wurden, war bislang etwas mühselig. Das ändert ein kleines Tool von Florian Roth namens „MongoBleed Detector“.

MongoBleed Detector steht auf Github bereit und wird vom Autor weitergepflegt. Nach dem Aktualisieren des MongoDB-Servers empfiehlt sich die Untersuchung der Datenbank damit, um möglichen Missbrauch der MongoBleed-Schwachstelle CVE-2025-14847 aufzuspüren.

Das Tool kennt dafür mehrere Modi. Neben einer Log-Korrelation etwa durch Verbindungsereignisse und fehlenden Meta-Daten dazu (was lediglich mit einem bestimmten Proof-of-Concept-Exploit so stattfindet) können Admins damit Schnappschüsse mittels serverStatus.asserts untersuchen. Das haben IT-Forscher als verlässlichen Indikator für Angriffsversuche aufgrund eines um mehrere Größenordnungen höheren Werts für „user“ ausgemacht. Die dort ebenfalls vorgestellte Analyse auf Basis des Full-Time Diagnostic Data Capture (FTDC) MongoDB-Subsystems lässt sich schließlich als dritte Erkennungsmethode von MongoBleed Detector nutzen.

Lokal und Remote einsetzbar

Der MongoBleed Detector analysiert lokale MongoDB-Daten, kann jedoch mit einer Datei mit Hosts mit einem weiteren Script mongobleed-remote.py auch auf entfernte Systeme mittels SSH zugreifen und diese untersuchen. Auf der Github-Seite des Projekts erklärt Roth die Funktionen und Optionen ausführlich.

Florian Roth ist in IT-Sicherheitskreisen kein Unbekannter. Er programmiert auch das Tool „Thor“, mit dem sich Systeme auf Hinweise auf Kompromittierung (Indicators of Compromise, IOCs) untersuchen lassen. Das Analysewerkzeug ist auch in der „Thor Lite“-Version in c’t-Desinfec’t enthalten.

(dmk)

Daten sind das Herzstück von Plattformen wie YouTube, TikTok und Instagram. Dabei geht es nicht nur um die Inhalte wie Videos oder Fotos, sondern vor allem auch um die Daten der Nutzer:innen: Was klicken sie an? Mit welchen Inhalten interagieren sie? Was läuft in Dauerschleife?

Wie ihre Empfehlungssysteme horten Google, ByteDance, Meta und Co. diese Daten und geben sie nur ungern preis. Doch es ist möglich, an sie heranzukommen – für Forschende und auch Nutzer:innen selbst. Wie das funktioniert und welche Hürden auf dem Weg liegen, haben David Wegmann und LK Seiling auf dem 39. Chaos Communication Congress präsentiert.

Die Datenschutzgrundverordnung verhilft zum persönlichen Datensatz

Das wohl bekannteste Werkzeug, um an die eigenen Daten heranzukommen, ist die Datenschutzgrundverordnung (DSGVO). Gemäß Artikel 15 hat eine Person das Recht, über sie verarbeitete Daten, Verarbeitungszwecke und andere Informationen von einem Datenverarbeiter zu erhalten.

Wegmann nutzte dieses Recht für seine Forschung zur Rolle von YouTube im demokratischen Diskurs. Dabei griff er auf Datenspenden von 1.064 Dän:innen zurück, die ihm ihre YouTube-Daten zur Verfügung stellten. Die Daten erhielt er, nachdem er 40.000 Personen um eine Datenspende gebeten hatte, berichtete er in dem Vortrag.

Dabei wurden auch die Probleme mit dem Datenzugang klar: Der Weg, die eigenen Daten herunterzuladen, ist nicht immer leicht. Bei großen Anbietern wie Google gibt es meist Möglichkeiten, über die Plattform direkt die Daten anzufordern. Bei anderen Diensten bekommen Nutzende teils erst auf mehrmalige Nachfrage Auskünfte auf Papier.

Doch selbst wenn die Daten wie bei YouTube digital über ein Online-Interface zur Verfügung stehen, bleibt es oft kompliziert: Unübersichtliche Dateien, Tabellen mit unklaren Spaltenbezeichnungen und die generelle Menge an Daten führen schnell zu Überforderung. Teils sind nicht alle Informationen enthalten, bei YouTube etwa, wie lange ein bestimmtes Video abgespielt wurde.

Ein weniger bekannter Weg für Nutzende, die eigenen Daten zu erhalten, geht über den Digital Markets Act, der besonders sogenannte Gatekeeper-Unternehmen im Blick hat. Er begründet für Nutzende das Recht auf Datenportabilität, damit es ihnen möglich ist, Anbieter zu wechseln, ohne ihre gesamten Daten bei einem anderen Dienst zu verlieren.

Datenauskünfte nach dem Digital Services Act geben andere Informationen

Nicht Betroffene selbst, aber Forschende können über den Digital Services Act (DSA) Daten von sehr großen Online-Plattformen anfordern. Seiling unterstützte Wegmann dabei, einen Antrag bei Google zu stellen.

Seiling sagt gegenüber netzpolitik.org: „Grundsätzlich gibt es im DSA zwei Arten von Forschungsdatenzugang. Einmal für öffentlich verfügbare Daten in Artikel 40 (12) und für allgemeine Daten in Artikel 40 (4).“ Bei Ersterem sollen Plattform-Anbieter Forschenden Zugang zu öffentlich zugänglichen Daten ihrer Dienste geben, um systemische Risiken zu erforschen. Bei Letzterem geht es um privilegierten Zugang zu Daten, die teilweise nicht öffentlich sind und die ebenfalls zur Risikoerforschung genutzt werden sollen. Das können beispielsweise Informationen zu Moderationsentscheidungen sein. Dafür sind die Hürden höher, der Antrag auf Zugang zu diesen Daten läuft nicht über die Plattformen direkt, sondern über den jeweils zuständigen nationalen Koordinator für Digitale Dienste.

Da der DSA und das darin verbriefte Recht auf Datenzugang noch vergleichsweise neu sind, gibt es teilweise noch Unklarheiten, was Antragsprozesse oder den Umfang der entsprechenden Daten angeht.

„Der DSA spezifiziert nicht genau, was mit öffentlich verfügbaren Daten gemeint ist“, sagt Seiling gegenüber netzpolitik.org. „Meiner Auffassung nach müsste das auch Informationen zum Plattformdesign oder Inhaltsdaten etwa von Videos betreffen. Aber es ist noch nicht klar, wo genau da die Grenze verläuft.“

Für Wegmann waren die Hürden des Antragsprozesses zu den öffentlich verfügbaren Daten ein Problem. „Google verlangt, dass man beweist, dass man die Daten supersicher aufbewahren kann und will technische Details zur Speicherung wissen. Wir speichern die nun mit den gleichen Vorkehrungen wie die Patient:innendaten der medizinischen Fakultät“, so der Forscher.

Dass im Vorfeld nicht klar sei, welche Bedingungen man für den Datenzugang erfüllen müsse, sei ein Problem für Wissenschaftler:innen. „Das hat mich Wochen an Arbeit gekostet, all diese Informationen herauszubekommen“, berichtet Wegmann.

Was ist Forschung?

Eine weitere Hürde liegt in der Frage, wer überhaupt laut dem Gesetz als „Forscher“ gilt. Für den Zugang zu öffentlichen Daten muss man nicht an eine Forschungseinrichtung angeschlossen sein. Aber dennoch muss der Antragstellende neben den technischen Voraussetzungen nachweisen, dass die Forschung „unabhängig von kommerziellen Interessen“ ist und seine Finanzierung offenlegen.

Gerade derartig aufwendige Nachweisprozesse dürften für zivilgesellschaftliche Forschung eine Hürde darstellen, insbesondere dann, wenn sie sich über lange Zeiträume hinziehen.

Trotz der bestehenden Hindernisse sehen Wegmann und Seiling in den Datenzugangsrechten wichtige Werkzeuge. „Mir ist wichtig, dass die Hackercommunity versteht, dass wir das Recht auf unserer Seite haben“, sagt Seiling. „Das ist nicht zu unterschätzen.“ Indem über den Datenzugang Probleme identifiziert werden, ließen sich vielleicht auch Plattformen dazu bringen, Umbauten vorzunehmen. Und so steht auch auf ihrer Schlussfolie zum Vortrag die Aufforderung: „Du kannst [die Datenauskunftsrechte] nutzen, um Tech-Plattformen zur Verantwortung zu ziehen.“

Gerade weil diese Rechte ein mächtiges Werkzeug sind, ist es wichtig, sie aktiv zu nutzen und zu verteidigen. Auch gegen Bestrebungen der EU-Kommission, etwa im Digitalen Omnibus die Selbstauskünfte nach der DSGVO einzuschränken. Und so warnt Wegmann davor, dass Datenauskunftsrechte und andere Rechte zur Verhandlungsmasse gemacht werden, auch auf Druck der USA, die sich gegen europäische Tech-Regulierung stemmen.

Im Plesk Media Server hatten die Entwickler im August eine Sicherheitslücke geschlossen. Kurz darauf gemeldete Zugriffssicherheitslecks haben sie offenbar jedoch noch nicht ausgebessert. Nutzerinnen und Nutzer sollten daher die Zugriffsmöglichkeiten sicherheitshalber einschränken.

In den am Wochenende veröffentlichten Schwachstellenmeldungen weist der Entwickler Luis Finke darauf hin, dass die Authentifizierungsschwachstelle CVE-2025-34158 (CVSS 8.5, Risiko „hoch“) zwar mit Version 1.42.1 vom Plex Media Server im August geschlossen wurde. Jedoch stehen flankierende Sicherheitslücken in der Zugriffstoken-Verwaltung weiterhin offen und stellen ein Risiko dar. Sie ermöglichen persistenten unautorisierten Zugriff, Rechteausweitung und erzeugen Probleme beim Zurückziehen kompromittierter Zugangsdaten.

Am schwersten wiegt demnach eine Lücke in Plex Media Server bis einschließlich der aktuellen Version 1.42.2.10156 vom September, durch die Angreifer sich mit einem temporären Zugangstoken durch einen Aufruf von „/myplex/account“ einen permanenten Zugangstoken verschaffen können (CVE-2025-69414, CVSS 8.5, Risiko „hoch“). Ein ähnlicher Aufruf, jedoch mit einem Geräte-Token, prüft nicht korrekt, ob das Gerät überhaupt mit einem Konto verknüpft ist (CVE-2025-69415, CVSS 7.1, Risiko „hoch“).

Schwachstellen im plex.tv-Backend

Zwei weitere Sicherheitslücken betreffen das plex.tv-Backend bis einschließlich der Version vom 31.12.2025. Ein nicht-Server-Geräte-Token kann andere Token aus „clients.plex.tv/devices.xml“ abgreifen, die für anderweitige Zugriffe vorgesehen sind (CVE-2025-69416, CVSS 5.0, Risiko „mittel“). Selbiges gelingt über einen „shared_servers“-API-Endpunkt (CVE-2025-69417, CVSS 5.0, Risiko „mittel“).

Da noch keine Aktualisierungen bereitstehen, die die teils hochriskanten Sicherheitslücken stopfen, sollten Plex-Nutzerinnen und -Nutzer die Zugriffe auf den Server auf vertrauenswürdige Adressen beschränken.

(dmk)