Datenschutz: Unberechtigte Accounts in Schul-Cloud
In der Schul-Cloud des Hasso-Plattner-Instituts war es möglich, unberechtigt Accounts anzulegen und damit Nutzerdaten einzusehen.
Auf mehreren Instanzen der Schul-Cloud, die vom Hasso-Plattner-Institut (HPI) bereitgestellt wird, konnten sich Unbefugte Zugänge anlegen und damit Daten von Schülern auslesen. Das wurde offenbar anonym den saarländischen Datenschutzbehörden gemeldet.
Wie aus dem Blogpost des Schul-Cloud-Projekts hervorgeht, erfolgte der Angriff über einen Registrierungslink. Demnach konnte man sich einen solchen Registrierungslink erstellen, wenn man die ID der jeweiligen Schule kannte. Die Schul-ID wiederum war öffentlich auffindbar.
Daten von 103 Schülern wurden Datenschutzbehörden zugespielt
Mit dieser Methode hatte sich eine unbekannte Person an einer saarländischen Schule einen Account mit einer Wegwerf-Mailadresse angelegt und damit die Daten ausgelesen. Daten von 103 Schülern, die offenbar authentisch waren, wurden der dortigen Datenschutzbehörde zugespielt.
Insgesamt konnte das Hasso-Plattner-Institut daraufhin 13 Schulen identifizieren, an denen derartige Accounts angelegt wurden. Bei vier der Schulen handelte es sich lediglich um Partner bei Testprojekten, die die Cloud nicht mit Schülerdaten befüllt hatten.
Die Funktionalität eines schulweiten Registrierungslinks wurde nach dem Vorfall aus der Software entfernt. Schulen sollen stattdessen persönliche Einladungslinks oder andere Formen der Nutzerregistrierung verwenden.
Private Daten im Ticketsystem
Bei der Überprüfung des Vorfalls fiel den Betreibern der Schul-Cloud dann noch ein weiteres Datenschutzproblem auf: In einem Ticketsystem, das zur Entwicklung der Software genutzt wird, waren einige Tickets öffentlich einsehbar, die Namen, Mailadressen und Telefonnummern von Nutzern enthielten.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
