Lücke bei Campusnet: Datenpanne betrifft mehr als eine Million Studenten
Sicherheitsforscher haben eine Schwachstelle in einem Hochschulinformationssystem namens Campusnet entdeckt. Dadurch hätten die Angreifer persönliche Daten von etwa 1,1 Millionen aktuell eingeschriebenen und ehemaligen Studenten mehrerer deutscher Hochschulen abgreifen können. Das geht aus einer Mitteilung des Chaos Computer Clubs(öffnet im neuen Fenster) hervor, der die Forscher bei der Meldung des Datenlecks unterstützt hat.
Den Angaben zufolge konnten Personenverzeichnisse betroffener Hochschulen durch eine öffentlich erreichbare Suchfunktion einfach durchsucht werden. "Das dazugehörige Formular erlaubte Wildcard-Abfragen und ermöglichte auch die Suche nach einzelnen Attributen wie Postleitzahl, Straße oder Hausnummer" , schreibt der CCC.
Durch eine Kombination verschiedener Suchanfragen sei es möglich gewesen, vollständige Adressdatensätze betroffener Studenten zu rekonstruieren. Der CCC nennt insgesamt 22 betroffene Hochschulen und Universitäten, darunter solche aus Bremen, Darmstadt, Dresden, Hamburg, Leipzig, Mainz, Paderborn, Neubrandenburg, Osnabrück sowie die Hamburger Polizeiakademie.
Reaktionen der Hochschulen
Erfreulich ist, dass die jeweiligen Hochschulen wohl zum Großteil zügig reagierten. Mindestens zehn von ihnen sollen die Lücke noch am Tag ihrer Benachrichtigung geschlossen haben, weitere am Folgetag. Nach Angaben des CCC antworteten zwar vier Institutionen bis heute nicht, die Lücke soll aber dennoch inzwischen bei allen bekanntermaßen betroffenen Einrichtungen geschlossen worden sein.
Campusnet wird von der Datenlotsen Informationssysteme GmbH entwickelt. Laut Webseite des Anbieters(öffnet im neuen Fenster) handelt es sich um ein Campusmanagementsystem, das Hochschulbetreibern dabei hilft, "die täglichen akademischen und administrativen Prozesse zu optimieren" , den gesamten "Student Life Cycle" zu digitalisieren und dadurch den Verwaltungsaufwand zu verringern.
Laut Hersteller(öffnet im neuen Fenster) wird Campusnet von über 30 Hochschulen mit zusammen mehr als 600.000 Studenten eingesetzt. Mit Letzteren sind angesichts der Angaben des CCC vermutlich nur jene gemeint, die aktuell eingeschrieben sind. Ob die geschilderte Sicherheitslücke von böswilligen Akteuren ausgenutzt wurde, ist nicht bekannt. Die zuständigen Datenschutzbehörden und das DFN-CERT(öffnet im neuen Fenster) seien aber informiert worden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.