Vor allem während der Coronakrise nahm die Nutzerzahl von Online-Plattformen, die dem Selbststudium dienen, immens zu. Nicht zuletzt geschlossene Schulen und oftmals nur befriedigende Online-Angebote der betreuenden Lehrer hatten damit zu tun. Nun ist bekannt geworden, dass mit Scoolio eine der beliebtesten Plattformen von einem massiven Datenleck betroffen war. Die mittlerweile geschlossene Sicherheitslücke der Schüler-App machte den Zugang zu Nutzerdaten von knapp 400.000 Schülern möglich.
Kollektiv für Datensicherheit fand Lücke
Wie so oft im Bereich der Internetsicherheit, wurde auch dieses Mal wieder ein Verbund von IT-Experten auf die Sicherheitsprobleme aufmerksam. Das Kollektiv „Zerforschung“ konnte bei seiner umfangreichen Überprüfung der Schüler-App Scoolio einige massive Probleme feststellen. So fand man jede Menge Sicherheitslücken, die es Cyberkriminellen problemlos ermöglichten, Daten der angemeldeten Schüler einzusehen und abzurufen. Insbesondere die Tatsache, dass es sich hierbei vornehmlich um minderjährige Schüler handelt, macht diesen Fall so erschreckend. Scoolio selbst hat mittlerweile Stellung zu den Lücken genommen und klargemacht, dass diese mittlerweile glücklicherweise schon geschlossen wurden.
Probleme digitalen Unterrichts
Scoolio gilt als beliebte Plattform, die vor allem während des Lockdowns als praktisches Tool nicht nur von Schülern, sondern auch von Lehrern genutzt wurde. Hier ließen sich bspw. bequem zu erledigende Hausaufgaben sowie Stundenpläne hinterlegen. In Zeiten eines nicht vorhandenen Präsenzunterrichts war dies Gold wert. Doch selbstverständlich haben die Macher nicht nur an schulische Zwecke, sondern auch den Entertainment-Faktor für junge User gedacht. Dementsprechend fungierte Scoolio in Form eines kleinen sozialen Netzwerks auch wie eine Art Facebook-Light. Neben kleinen Online-Games bietet die App hier auch Möglichkeiten zum Chatten.
Vor allem die Tatsache, dass Scoolio auch als soziales Netzwerk konzipiert ist, verleiht dem Datenleck einen noch bittereren Beigeschmack. Schließlich war es unerwünschten Gästen so möglich, auf persönliche Daten der Schüler zuzugreifen und nicht nur deren Hausaufgaben-Pläne einzusehen. Nicht zuletzt das massive Datenleck von Scoolio macht deutlich, dass allgemeine Sicherheitsrisiken des Internets selbstverständlich auch im Bereich Bildung gelten. Die IT-Sicherheitsexperten von Zerforschung selbst bezeichneten die Datensicherheit als unzureichend.
Datenabruf problemlos möglich
Die Experten von Zerforscher gingen bei ihrer Problemanalyse einen ganz einfachen Weg – Sie erstellten sich ganz einfach ein eigenes Profil. Nun war es Ihnen per „Person-in-the-Middle-Proxy“ möglich, zu sehen, wie Server und App miteinander kommunizierten. Nun mussten sie „nur noch“ Stück für Stück von Ende zu Ende der APIs wandern. Im Zuge dessen kam das IT-Team zu dem Ergebnis, dass sich allein mithilfe der ID eines Profils auch der entsprechende Account einsehen und abrufen lässt. Die Kollegen von heise online haben diesbezüglich mit Lilith Wittmann (Sicherheitsforscherin bei Zerforschung) gesprochen.
Glaubt man der Schätzung der IT-Expertin, hätte man auf diesem vergleichsweise unkomplizierten Wege auf knapp 400.000 Nutzer-Profile der Schülerplattform zugreifen können. Dies ist angesichts der teilweise ernsten Themen, welche in den Chaträumen diskutiert wurden, nicht nur in Betracht auf persönliche Daten gefährlich. Auch Mitgliedschaften in Gruppen wie „LGBTQ“ lassen sich ganz einfach anhand der Profil-IDs einsehen. Damit wäre es ein leichtes für bestimmte Stellen gewesen, Daten zu bspw. der sexuellen Orientierung von teilweise noch Kindern zu sammeln.
Nicht nur Datenklau als Risiko
Machen wir uns nichts vor. Ein umfangreicher Datenklau ist für Cyberkriminelle mit wirtschaftlichen Absichten nur dann interessant, wenn Kreditkartendaten oder Ähnliches abgestaubt werden können. Im Bereich von Minderjährigen muss man hingegen vielmehr mit dem Risiko des sogenannten Cybergroomings rechnen. Hier nutzen Erwachsene Chaträume, um Kontakt zu Minderjährigen aufzunehmen. Laut Zerforschung wäre dies bei Scoolio theoretisch problemlos möglich gewesen. Die Moderatoren der Plattform hätten einen entsprechenden Kontakt selbst dann nicht unterbunden, wenn man sich als über 40 Jahre alte Person angemeldet und in einer Gruppe für Partnersuche zwischen Minderjährigen eingetreten wäre. Selbstverständlich ist Scoolio alles andere als erfreut über die ans Tageslicht gekommenen Sicherheitslecks. Da man bislang allerdings noch von keinen betroffenen Mitgliedern gehört hat, scheint die GmbH wohl noch einmal mit einem blauen Auge davonzukommen.
Um den Ruf wieder zu bessern, hat das Unternehmen angekündigt, seine Sicherheitsmechanismen deutlich aufzustocken. Hierbei steht allen voran der Jugendschutz im Fokus. Insbesondere die Einführung eines umfangreichen Upload-Filters soll beispielsweise das Versenden von für Kinder ungeeigneten Medien verhindern. Auch eine Sperre von Kontaktdaten wie Handynummern und E-Mail-Adressen soll in Chats eingeführt werden. Neben diesen sollen noch weitere allgemeine Verbesserungen im Bereich der Sicherheit kommen. Um die verstärkte Sicherheit absegnen zu lassen, verspricht Scoolio eine anschließende Überprüfung durch externe IT-Experten. Gegenüber Zerforschung hat Scoolio nur positive Worte über. Schließlich hat das Sicherheitskollektiv auf die Missstände hingewiesen. Wir sind gespannt, welche Sicherheitslücken im Rahmen der „Back to school“ Überprüfung durch Zerforschung auch bei anderen Schüler-Portalen zutage gefördert werden.
No replies yet
Neue Antworten laden...
Gehört zum Inventar
Beteilige dich an der Diskussion in der Basic Tutorials Community →