Datenschutz: Unberechtigte Accounts in Schul-Cloud

In der Schul-Cloud des Hasso-Plattner-Instituts war es möglich, unberechtigt Accounts anzulegen und damit Nutzerdaten einzusehen.

Artikel veröffentlicht am ,
Datenschutzprobleme bei der Schulcloud: Mit Fakeaccounts konnte man die Daten von Schülern einsehen.
Datenschutzprobleme bei der Schulcloud: Mit Fakeaccounts konnte man die Daten von Schülern einsehen. (Bild: Hasso-Plattner-Institut)

Auf mehreren Instanzen der Schul-Cloud, die vom Hasso-Plattner-Institut (HPI) bereitgestellt wird, konnten sich Unbefugte Zugänge anlegen und damit Daten von Schülern auslesen. Das wurde offenbar anonym den saarländischen Datenschutzbehörden gemeldet.

Stellenmarkt
  1. Defence Spezialist (m/w/d) Informationssicherheit
    Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. Bioinformatiker (m/w/d) für die Projektleitung »Whole Genome Sequencing«
    MVZ Martinsried GmbH, Planegg-Martinsried
Detailsuche

Wie aus dem Blogpost des Schul-Cloud-Projekts hervorgeht, erfolgte der Angriff über einen Registrierungslink. Demnach konnte man sich einen solchen Registrierungslink erstellen, wenn man die ID der jeweiligen Schule kannte. Die Schul-ID wiederum war öffentlich auffindbar.

Daten von 103 Schülern wurden Datenschutzbehörden zugespielt

Mit dieser Methode hatte sich eine unbekannte Person an einer saarländischen Schule einen Account mit einer Wegwerf-Mailadresse angelegt und damit die Daten ausgelesen. Daten von 103 Schülern, die offenbar authentisch waren, wurden der dortigen Datenschutzbehörde zugespielt.

Insgesamt konnte das Hasso-Plattner-Institut daraufhin 13 Schulen identifizieren, an denen derartige Accounts angelegt wurden. Bei vier der Schulen handelte es sich lediglich um Partner bei Testprojekten, die die Cloud nicht mit Schülerdaten befüllt hatten.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Die Funktionalität eines schulweiten Registrierungslinks wurde nach dem Vorfall aus der Software entfernt. Schulen sollen stattdessen persönliche Einladungslinks oder andere Formen der Nutzerregistrierung verwenden.

Private Daten im Ticketsystem

Bei der Überprüfung des Vorfalls fiel den Betreibern der Schul-Cloud dann noch ein weiteres Datenschutzproblem auf: In einem Ticketsystem, das zur Entwicklung der Software genutzt wird, waren einige Tickets öffentlich einsehbar, die Namen, Mailadressen und Telefonnummern von Nutzern enthielten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Oberleitungs-Lkw
Herr Gramkow will möglichst weit elektrisch fahren

Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
Ein Bericht von Werner Pluta

Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
Artikel
  1. Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
    Star Trek
    Playmobil bringt 1 Meter langes Enterprise-Spielset

    Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

  2. Chipfertigung: Intel plädiert für höhere Subventionen in Europa
    Chipfertigung
    Intel plädiert für höhere Subventionen in Europa

    Wenn Europa wieder mehr Chips fertigen will, muss sich das Subventionsangebot verbessern, erklärt Intels Deutschlandchefin.

  3. Facebook: Viele Nutzer bleiben bei Whatsapp
    Facebook
    Viele Nutzer bleiben bei Whatsapp

    Eine Umfrage zeigt, dass viele Nutzer bei der Facebook-App bleiben. Viele wollten Whatsapp nach der Ankündigung neuer Datenschutzregeln eigentlich verlassen.

Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /