• IT-Karriere:
  • Services:

Datenschutz: Unberechtigte Accounts in Schul-Cloud

In der Schul-Cloud des Hasso-Plattner-Instituts war es möglich, unberechtigt Accounts anzulegen und damit Nutzerdaten einzusehen.

Artikel veröffentlicht am ,
Datenschutzprobleme bei der Schulcloud: Mit Fakeaccounts konnte man die Daten von Schülern einsehen.
Datenschutzprobleme bei der Schulcloud: Mit Fakeaccounts konnte man die Daten von Schülern einsehen. (Bild: Hasso-Plattner-Institut)

Auf mehreren Instanzen der Schul-Cloud, die vom Hasso-Plattner-Institut (HPI) bereitgestellt wird, konnten sich Unbefugte Zugänge anlegen und damit Daten von Schülern auslesen. Das wurde offenbar anonym den saarländischen Datenschutzbehörden gemeldet.

Stellenmarkt
  1. aluplast GmbH, Karlsruhe
  2. bol Behörden Online Systemhaus GmbH, Unterschleißheim

Wie aus dem Blogpost des Schul-Cloud-Projekts hervorgeht, erfolgte der Angriff über einen Registrierungslink. Demnach konnte man sich einen solchen Registrierungslink erstellen, wenn man die ID der jeweiligen Schule kannte. Die Schul-ID wiederum war öffentlich auffindbar.

Daten von 103 Schülern wurden Datenschutzbehörden zugespielt

Mit dieser Methode hatte sich eine unbekannte Person an einer saarländischen Schule einen Account mit einer Wegwerf-Mailadresse angelegt und damit die Daten ausgelesen. Daten von 103 Schülern, die offenbar authentisch waren, wurden der dortigen Datenschutzbehörde zugespielt.

Insgesamt konnte das Hasso-Plattner-Institut daraufhin 13 Schulen identifizieren, an denen derartige Accounts angelegt wurden. Bei vier der Schulen handelte es sich lediglich um Partner bei Testprojekten, die die Cloud nicht mit Schülerdaten befüllt hatten.

Die Funktionalität eines schulweiten Registrierungslinks wurde nach dem Vorfall aus der Software entfernt. Schulen sollen stattdessen persönliche Einladungslinks oder andere Formen der Nutzerregistrierung verwenden.

Private Daten im Ticketsystem

Bei der Überprüfung des Vorfalls fiel den Betreibern der Schul-Cloud dann noch ein weiteres Datenschutzproblem auf: In einem Ticketsystem, das zur Entwicklung der Software genutzt wird, waren einige Tickets öffentlich einsehbar, die Namen, Mailadressen und Telefonnummern von Nutzern enthielten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 68,23€ (Release 03.12.)
  2. 7,59€
  3. 26,99€

Folgen Sie uns
       


Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Gemanagte Netzwerke: Was eine Quasi-Virtualisierung von WANs und LANs bringt
Gemanagte Netzwerke
Was eine Quasi-Virtualisierung von WANs und LANs bringt

Cloud Managed LAN, Managed WAN Optimization, SD-WAN oder SD-LAN versprechen mehr Durchsatz, mehr Ausfallsicherheit oder weniger Datenstau.
Von Boris Mayer


    No One Lives Forever: Ein Retrogamer stirbt nie
    No One Lives Forever
    Ein Retrogamer stirbt nie

    Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
    Von Benedikt Plass-Fleßenkämper

    1. Heimcomputer Retro Games plant Amiga-500-Nachbau
    2. Klassische Spielkonzepte Retro, brandneu
    3. Gaming-Handheld Analogue Pocket erscheint erst 2021

      •  /