Scoolio: Daten Hunderttausender Schüler im Netz abrufbar

Die für die Schule gedachte App Scoolio hat zahlreiche persönliche Daten preisgegeben. Die Betreiber werden für ihr Verhalten kritisiert.

Artikel veröffentlicht am ,
Die Scoolio-App hat mehr Informationen preisgegeben als sie sollte.
Die Scoolio-App hat mehr Informationen preisgegeben als sie sollte. (Bild: Scoolio)

Die auf IT-Sicherheit spezialisierte Forschungsgruppe Zerforschung hat ein massives Daten-Leck in der App Scoolio gefunden, wie das Kollektiv in seinem Blog schreibt. Über eine triviale Sicherheitslücke in der App ist es den Beteiligten demnach gelungen, etwa E-Mail-Adressen, Geburtsdatum und Standort der Schülerinnen und Schüler abzurufen, die die App benutzen. Laut einem Bericht des MDR schätzt das Team, dass davon wohl alle Scoolio-Accounts betroffen seien, also mindestens 400.000.

Stellenmarkt
  1. Empirum Administrator (m/w/d)
    ASYS Automatisierungssysteme GmbH, Dornstadt bei Ulm
  2. Keyuser SAP HCM Zeitwirtschaft (w/m/d)
    Schwarz Produktion Stiftung & Co. KG, Weißenfels, Raum Halle/Leipzig
Detailsuche

Laut Aussage der App-Betreiber selbst sowie auch von Zerforschung ist die Sicherheitslücke zum einfachen Zugriff auf die persönlichen Daten wohl sämtlicher Accounts inzwischen behoben. Die Beteiligten einigten sich dabei auf einem Zeitraum von 30 Tagen zum Schließen der Lücken sowie die nun erfolgte Veröffentlichung.

Für die Entwicklerin und Sicherheitsforscherin Lilith Wittmann ist dieser Zeitraum aber deutlich zu lang. Laut MDR sei Wittmann der Meinung, "Scoolio hätte die Lücke innerhalb von 72 Stunden schließen und alle Nutzer informieren müssen". Wittmann ist unter anderem für ihre Analyse einer CDU-Wahlkampf-App sowie eine daran anschließende Klage gegen sie bekannt. Für die Untersuchung von Scoolio hat Wittmann erstmals in dem Kollektiv von Zerforschung mitgewirkt. Das Team von Zerforschung hat bisher unter anderem Kundendaten bei Flink gefunden oder teils triviale Sicherheitslücken in Corona-Testzentren entdeckt.

Daten komplett ungeschützt im Netz

Die Sicherheitslücke in Scoolio selbst ist dabei äußerst simpel und spricht nicht dafür, dass die Scoolio-Macher die Sicherheit ihrer App wirklich bedacht haben. Laut Zerforschung konnten die Profil-IDs samt der jeweiligen Profil-Inhalte schlicht über die komplett ungeschützte API abgerufen werden. Über eine ältere Version der API konnte das Team dann auch noch weitere persönliche Informationen der einzelnen Profile einsehen.

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    16.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Zwar hat Scoolio für die Profil-IDs auf UUIDs gesetzt, die nicht einfach zu erraten sind. Die App selbst verfügt aber über eine Art eigenes soziales Netz und eine Chatanwendung, wofür die UUIDs an andere übertragen werden. Das Team konnte über seinen eigenen Account außerdem problemlos mehrfach die Schule wechseln und hätte so einfach die UUIDs anderer Accounts sammeln und so auf deren Daten zugreifen können.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

In einer Mitteilung schreibt Scoolio: "Der Sicherheitsaspekt in der App, die für Schülerinnen und Schüler zur Organisation ihres Schulalltags sowie zur Berufsorientierung konzipiert wurde, ist für das gesamte Scoolio-Team von enormer Bedeutung". Das Team von Zerforschung kommentiert dies mit: "Davon haben wir nichts gemerkt 🤷"

Die zuständige Datenschutzbehörde in Sachsen hat sich trotz der besonders schutzbedürftigen Betroffenen und der weitgehend fehlenden Sicherheitsvorkehrungen von Scoolio dagegen entschieden, ein Bußgeld gegen die Betreiber zu verhängen. Wittmann bedankt sich zwar für die Zusammenarbeit mit der Behörde, schreibt aber auch: "Darüber, dass keine Bußgelder verhängt wurden, bin ich aber etwas unglücklich. Das sendet meiner Meinung nach ein falsches Signal."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


dummzeuch 03. Nov 2021 / Themenstart

... dann wäre alles total sicher gewesen. Äh, Moment ...

Maddix 28. Okt 2021 / Themenstart

Finde ich auch sehr schockierend. Was noch dazu kommt, ist, dass die Datenschutzbehörde...

dura 28. Okt 2021 / Themenstart

Ich würde sagen, die Mehrheit hat sogar ein großes Interesse daran, dass diese...

Vögelchen 27. Okt 2021 / Themenstart

https://www.heise.de/news/Datenleck-bei-Modern-Solution-Hausdurchsuchung-statt-Bug-Bounty...

Kommentieren



Aktuell auf der Startseite von Golem.de
Feldversuch E-Mobility-Chaussee
So schnell bringen E-Autos das Stromnetz ans Limit

Das Laden von Elektroautos stellt Netzbetreiber auf dem Land vor besondere Herausforderungen. Ein Pilotprojekt hat verschiedene Lösungen getestet.
Ein Bericht von Friedhelm Greis

Feldversuch E-Mobility-Chaussee: So schnell bringen E-Autos das Stromnetz ans Limit
Artikel
  1. Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
    Encrochat-Hack
    "Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

    Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
    Ein Interview von Moritz Tremmel

  2. Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
    Geforce Now (RTX 3080) im Test
    1440p120 mit Raytracing aus der Cloud

    Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
    Ein Test von Marc Sauter

  3. SpaceX: Starlink testet Satelliteninternet in Flugzeugen
    SpaceX
    Starlink testet Satelliteninternet in Flugzeugen

    Bald dürften mehrere Flugesellschaften Starlink-Service anbieten. Laut einem Manager soll es so schnell wie möglich gehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" 32:9 Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Cambridge Audio Melomonia Touch 89,95€ • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /