Abo
  • IT-Karriere:

E-Learning-Plattform: Mysteriöses Datenleck bei Oncampus

Bei der deutschen E-Learning-Plattform Oncampus kam es offenbar zu einem Datenleck. Der Betreiber weiß bisher nicht genau, was passiert ist.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Bei der E-Learning-Plattform Oncampus kam es offenbar zu einem Datenleck.
Bei der E-Learning-Plattform Oncampus kam es offenbar zu einem Datenleck. (Bild: Triplec85, Wikimedia Commons/CC0 1.0)

Die E-Learning-Plattform Oncampus sucht nach der Ursache für ein Datenleck. Mehrere Nutzer der Plattform haben demnach dem Betreiber gemeldet, dass Mailadressen, die nur dort verwendet werden, betrügerische Spam-Mails erhielten. Golem.de fand bei der Recherche eine Sicherheitslücke in einer PHP-Software, die kann aber laut dem Betreiber nicht die Ursache für den Vorfall sein.

Stellenmarkt
  1. Dataport, verschiedene Einsatzorte (Home-Office möglich)
  2. Handtmann Service GmbH & Co. KG, Biberach an der Riss

Die betroffenen Nutzer der Plattform hatten getaggte Mailadressen verwendet, um sich vor Spam zu schützen. Gemeint ist damit, dass die Nutzer für jeden Service eine individuelle Mailadresse auf einer eigenen Domain verwenden. Wenn anschließend Spam eintrifft, kann man davon ausgehen, dass der entsprechende Service die Mailadressen entweder verkauft hat oder diese entwendet wurden.

Erpressermails an bei Oncampus verwendete Mailadressen

Genau das ist nun einigen Nutzern bei Oncampus aufgefallen. Sie erhielten Erpressermails, in denen den Empfängern angedroht wurde, ein Video von ihnen beim Pornoschauen zu veröffentlichen. Solche Mails sind in den letzten Monaten häufiger aufgetaucht, es handelt sich jedoch um leere Drohungen, die nur dazu dienen, Nutzer zum Zahlen - meist via Bitcoin - zu bewegen.

Oncampus bestätigte auf Twitter, dass es einen Vorfall gegeben habe. Auf Nachfrage von Golem.de teilte man uns mit, dass man im Moment nicht genau wisse, was passiert sei und wie viele Daten entwendet wurden. Man habe aber bereits die zuständige Datenschutzbehörde in Schleswig-Holstein informiert.

"Alle betroffenen Daten liegen nur in einem System vor (www.oncampus.de), das immer auf dem neuesten Stand und mit allen aktuellen Sicherheitspatches läuft. Im System konnten wir bisher keinen Einbruch feststellen", schrieb uns Andreas Wittke von Oncampus.

PHPUnit mit Sicherheitslücke

Bei unserer Recherche fanden wir zwei Subdomains von Oncampus, auf denen eine Version von PHPUnit mit einer sehr gefährlichen Sicherheitslücke abrufbar war. Diese 2017 entdeckte Lücke steckt in einem Testskript, das Teil von PHPUnit war. Dieses führt schlicht alle Daten, die es in einem HTTP-Post-Request erhält, als PHP-Code aus.

Wir haben diesen Fund Oncampus umgehend mitgeteilt und die verwundbaren Skripte wurden nach kurzer Zeit entfernt. Oncampus glaubt allerdings nicht, dass ein Zusammenhang mit dem Datenleck besteht: "Das sind zwei veraltete Development Server für ein Autorentool. Die Server haben keine Daten." Es würden außerdem derzeit Penetrationstests durchgeführt, man habe aber bisher keine relevanten Hinweise auf die Ursache des Datenlecks.



Anzeige
Hardware-Angebote
  1. 299,00€
  2. 259€ + Versand oder kostenlose Marktabholung (aktuell günstigste GTX 1070 Mini)
  3. 98,99€ (Bestpreis!)
  4. 83,90€

bionade24 22. Apr 2019 / Themenstart

Man kann alles übertreiben, aber wenn man LUKS auf seine Servern betreibt, schießt man...

AllDayPiano 21. Apr 2019 / Themenstart

Und sehr unwahrscheinlich.

Kommentieren


Folgen Sie uns
       


Lenovo Smart Display im Test

Die ersten Smart Displays mit Google Assistant kommen von Lenovo. Die Geräte sind ordentlich, aber der Google Assistant ist nur unzureichend an den Touchscreen angepasst. Wir zeigen in unserem Testvideo die Probleme, die das bringt.

Lenovo Smart Display im Test Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
    Lightyear One
    Luxus-Elektroauto fährt auch mit Solarstrom

    Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
    Von Wolfgang Kempkens

    1. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
    2. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden
    3. Zellproduktion EU macht Druck auf Altmaier wegen Batteriezellenfabrik

    Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
    Chromium
    Der neue Edge-Browser könnte auch Chrome besser machen

    Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
    Von Oliver Nickel

    1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
    2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
    3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

      •  /