DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo Wir in der taz Wir bei Mastodon A-FsA Song RSS Twitter Youtube Unsere Artikel bei Tumblr Unsere Bilder bei Flickr Aktion FsA bei Wikipedia Spenden in Bitcoins Facebook Bitmessage Spenden über Betterplace Zugriff im Tor-Netzwerk https-everywhere
26.02.2021 Datenlecks in der Schul-Cloud

Open Source Software kann überprüft werden

Dass wir heute, nach dem Bericht über die katastrophalen Zustände im Bereich eHealth, schon wieder auf die Computer Zeitschrift ct hinweisen, ist wohl Zufall. Die ct berichtet heute über Datenlecks in der Open Source Software Lösung des Hasso-Plattner-Institut (HPI), die dort seit 2016 für den Einsatz in Schulen entwickelt wurde.

Wir sehen, dass Open Source Software nicht per se besser ist als im geheimen Firmenlabor entwickelte Programme, aber durch die Möglichkeit, die offen zur Verfügung stehenden Quellen zu prüfen, können Fehler gefunden werden bevor sie von Kriminellen oder Geheimdiensten ausgenutzt werden.

Und genau das ist passiert, beim Untersuchen der Software auf dem GitHub-Repository fand ein Interessierter einige Fehler mit denen an verschiedenen Stellen ein Zugriff auf Daten in den Schul-Clouds in diversen Bundesländern möglich war.

Der Standardfehler

In einem Bundesland war der Demo-Benutzername schueler@schul-cloud.org vor der Inbetriebnahme nicht korrekt entfernt worden, so dass damit ein Zugang zum System möglich war.

Die Flüchtigkeitsfehler

  • Der JavaScript-Code Endpunkt /teachersOfSchool führte in Thüringen zu einer Liste mit Hunderten Lehrern mit Name, Vorname und ID.
  • Der Endpunkt //metrics führte zu Angaben zur Auslastung von Prozessoren und Arbeitsspeicher, ein wertvolles Geschenk für Planer von DDOS Angriffen.
  • Dort befanden sich auch Logs mit URLs hinter denen sich zwischen Schülern und Lehrern ausgetauschte Dokumente aus der Cloud verbargen.

Solche Dokumente enthielten dann Schülerlisten, Arbeiten der Schüler, Video-Aufzeichnungen ganzer Unterrichtsstunden mit einzelnen Schülern oder in Gruppen.

Die ct hat sich über die schnelle Reaktion des Datenschutzbeauftragten und des HPI gefreut (unter 25 Stunden). In einer Stellungnahme vom Presse- und Öffentlichkeitsteam der HPI Schul-Cloud wurden alle technischen und datenschutzrechtlichen Fragen fundiert beantwortet. Die aufgedeckten Fehler wurden behoben und alte Links wurden zur Sicherheit gelöscht.

So geht Open Source! Keine Software ist 100%-sicher, es lohnt sich weiter nach Lücken zu suchen.

Mehr dazu bei https://www.heise.de/news/Datenlecks-in-der-HPI-Schul-Cloud-5061903.html


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3es
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7559-20210226-datenlecks-in-der-schul-cloud.htm
Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/7559-20210226-datenlecks-in-der-schul-cloud.htm
Tags: #Schule #Cloud #Software #HPI #DDOS #Zugang #Cyberwar #Hacking #Trojaner #ct #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen
Erstellt: 2021-02-26 09:35:17
Aufrufe: 497

Kommentar abgeben

Wer hat, der kann! Für eine verschlüsselte Rückantwort hier den eigenen Public Key reinkopieren.
(Natürlich optional)
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots auszuschließen.
logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor - The onion router HTTPS - verschlüsselte Verbindungen nutzen Wir verwenden kein JavaScript Für Transparenz in der Zivilgesellschaft