• IT-Karriere:
  • Services:

Datenschutz: Unberechtigte Accounts in Schul-Cloud

In der Schul-Cloud des Hasso-Plattner-Instituts war es möglich, unberechtigt Accounts anzulegen und damit Nutzerdaten einzusehen.

Artikel veröffentlicht am ,
Datenschutzprobleme bei der Schulcloud: Mit Fakeaccounts konnte man die Daten von Schülern einsehen.
Datenschutzprobleme bei der Schulcloud: Mit Fakeaccounts konnte man die Daten von Schülern einsehen. (Bild: Hasso-Plattner-Institut)

Auf mehreren Instanzen der Schul-Cloud, die vom Hasso-Plattner-Institut (HPI) bereitgestellt wird, konnten sich Unbefugte Zugänge anlegen und damit Daten von Schülern auslesen. Das wurde offenbar anonym den saarländischen Datenschutzbehörden gemeldet.

Stellenmarkt
  1. Bankhaus Lampe KG, Düsseldorf
  2. Kassenärztliche Vereinigung Rheinland-Pfalz, Koblenz, Mainz, Trier

Wie aus dem Blogpost des Schul-Cloud-Projekts hervorgeht, erfolgte der Angriff über einen Registrierungslink. Demnach konnte man sich einen solchen Registrierungslink erstellen, wenn man die ID der jeweiligen Schule kannte. Die Schul-ID wiederum war öffentlich auffindbar.

Daten von 103 Schülern wurden Datenschutzbehörden zugespielt

Mit dieser Methode hatte sich eine unbekannte Person an einer saarländischen Schule einen Account mit einer Wegwerf-Mailadresse angelegt und damit die Daten ausgelesen. Daten von 103 Schülern, die offenbar authentisch waren, wurden der dortigen Datenschutzbehörde zugespielt.

Insgesamt konnte das Hasso-Plattner-Institut daraufhin 13 Schulen identifizieren, an denen derartige Accounts angelegt wurden. Bei vier der Schulen handelte es sich lediglich um Partner bei Testprojekten, die die Cloud nicht mit Schülerdaten befüllt hatten.

Die Funktionalität eines schulweiten Registrierungslinks wurde nach dem Vorfall aus der Software entfernt. Schulen sollen stattdessen persönliche Einladungslinks oder andere Formen der Nutzerregistrierung verwenden.

Private Daten im Ticketsystem

Bei der Überprüfung des Vorfalls fiel den Betreibern der Schul-Cloud dann noch ein weiteres Datenschutzproblem auf: In einem Ticketsystem, das zur Entwicklung der Software genutzt wird, waren einige Tickets öffentlich einsehbar, die Namen, Mailadressen und Telefonnummern von Nutzern enthielten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 39,99€ (Release: 25. Juni)
  2. 699€ (Vergleichspreis 844€)
  3. (u. a. Samsung Galaxy Smartphones günstiger, Beauty-Bestseller von L'Oreal Men Expert und Garnier...

Folgen Sie uns
       


Baldurs Gate 3 - Spieleszenen

Endlich: Es geht weiter! In Baldur's Gate 3 sind Spieler erneut im Rollenspieluniversum von Dungeons & Dragons unterwegs, um gemeinsam mit Begleitern spannende Abenteuer in einer wunderschönen Fantasywelt zu erleben.

Baldurs Gate 3 - Spieleszenen Video aufrufen
Corona: Der Staat muss uns vor der Tracing-App schützen
Corona
Der Staat muss uns vor der Tracing-App schützen

Politiker wie Axel Voss fordern "Anreize" für die Nutzung der Corona-App. Doch das schafft nicht das notwendige Vertrauen in die staatliche Technik.
Ein Gastbeitrag von Stefan Brink und Clarissa Henning

  1. Schnittstelle installiert Android-Handys sind bereit für die Corona-Apps
  2. Corona-App Google und Apple stellen Bluetooth-API bereit
  3. Coronapandemie Quarantäne-App soll Gesundheitsämter entlasten

Corona: Japans Krankenhäuser steigen endlich von Fax auf E-Mail um
Corona
Japans Krankenhäuser steigen endlich von Fax auf E-Mail um

In Japan löst die Coronakrise einen Modernisierungsschub aus. Den Ärzten in den Krankenhäusern fehlt die Zeit für das manuelle Ausfüllen von Formularen.
Ein Bericht von Felix Lill

  1. Corona IFA 2020 findet doch als physisches Event statt
  2. Corona Pariser Polizei darf keine Drohnen zur Überwachung verwenden
  3. Pakete DPD-Standort wegen Corona-Infektionen geschlossen

Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display

    •  /