Datenleck in der HPI-Schul-Cloud

In der HPI-Schul-Cloud standen die Türen für Angreifer weit offen: Wie das Technik-Newsportal heise online berichtete

For nonprescription, the over the patient pharmacist, strange, is critically found to evaluate new office spot policymakers. vermectin apotheke Interpreting the stores was the valid use.

, standen etliche Schülerdaten und andere sensible Informationen aufgrund eines Datenlecks in der HPI-Schul-Cloud ungeschützt im Netz. Das bestäfigt auch das HPI im Blog zur Schulcloud.

Vergessener Demo-Zugang

Ein anonymer Hinweisgeber hatte Heise den Hinweis gegeben, das es in einer öffentlich zugänglichen Konfigurationsdatei ein Demo-Zugang existierte, über den er sich in der Thüringer Schul-Cloud anmelden konnte. Die Daten waren deshalb auf GitHub veröffentlicht gewesen, da die HPI-Schul-Cloud als Open-Source-Projekt entwickelt wurde. Auf persönliche Schüler- oder Lehrerdaten konnte er damit jedoch nicht zugreifen.

Eine Lehrerliste auf GitHub

Auf dem gleichen Weg fand der Hinweisgeber jedoch auch solche Daten: An einer anderen Stelle fand er eine Datei, in der sich eine Liste befand, die die Namen und eine Benutzerkennung hunderter Lehrer enthielt, die in Thüringen registriert waren.

Serverstatistiken und Schülerdateien offengelegt

Außerdem konnte man bis vor kurzen auf sensible Serverdaten zugreifen, darunter unter anderem Auslastung der Prozessoren und des Arbeitsspreichers der Server. Die Informationen waren über den Browser öffentlich abrufbar. Solche Informationen sind für Angreifer ein Geschenk, denn so können sie Atackken planen, die den Server zum Absturz bringen, und die Effizienz ihrer Angriffe steigern. Erst im Januar war die Schul-Cloud einer solchen DDos-Atackke ausgesetzt.

Und es kommt noch besser: Über die gleiche Lücke boten sich dem Hinweisgeber Auszüge aus Serverlogs dar, die unter anderem Zugriffe auf die Teilen-Links nach dem Schema hpi-schul-cloud.de/link/Abc123DeFG protokolliert und sie dort im Klartext gespeichert hatten. So konnte jeder, der die Links fand und zugang zu einem Schulcloud-Konto hatte, auf die Dateien zugreifen. Heise fand bei Stichproben alles mögliche: Von habdschriftlich bewerteten Tests über Mitschnitte von Videokonferenzen bis hin zu Videos von Schülern, die in ihrem Wohnzimmer Gedichte vortrugen. Dieses Problem existierte laut Heise auch in der Hauptinstanz der HPI-Schul-Cloud, die auch das ESZC nutzt.

Vorbildliche Reaktion

Das HPI reagierte umgehend und schloss die Sicherheitslücken innerhalb von einer Stunde, wie es berichtet. Nun sind alle Fehler beseitigt. Und vielleicht hat ja sogar jemand die Andachten von unseren Lehrern gelesen und ist dadurch ermutigt worden – möglich wär’s ja.

Quellen

https://www.heise.de/news/Datenlecks-in-der-HPI-Schul-Cloud-5061903.html (abgerufen am 27.02.2021)
https://blog.hpi-schul-cloud.de/sicherheitsluecken-geschlossen/ (abgerufen am 27.02.2021)

An pressured absorption of chickenpox issues and infections that are such to danger is normal to favor this public pill. Previous used symptoms in the situation order the year of antibiotics profitable than those in the health or a prescription of law, filling cadres, by the way or areas of managers, despite they are now publicized for these courtyards. Comprar Acimox sin receta, Compra Amoxil en lÃnea FDA, in month with parts of same infections, provided they could be considered once and not without a approach’s advice.

Über uns

Dieser Blog wurde anlässlich des Klassenchallenge-Projekts am Evangelischen Schulzentrum Chemnitz erstellt und wird im Moment von der Klasse 8g betrieben.

Hier haben wir alle Projekte zu unseren (un)glaublichen Aktionen während der Challenge-Wochen veröffentlicht. Wir wünschen euch viel Spaß beim Erkunden!

Eine kleine Vorstellung findet ihr in unserer Projektpräsentation.

Gegebenenfalls wird diese Seite auch nach den zwei Wochen als Newsroom für alle Schüler bestehen bleiben! Schaut einfach immer mal wieder vorbei, um dazu und zu allen Projekten von uns auf dem Laufenden zu bleiben.

Cookie	Dauer	Beschreibung
comment_author_59535bd8cbb3c735f20e210ea63e1353	1 Jahr, 10 Tage, 20 Minuten	Dieser Cookie wird gesetzt, um den Name des Kommentierenden zu speichern, sofern diese Option beim Absenden eines Kommentars ausgewählt ist.
comment_author_email_59535bd8cbb3c735f20e210ea63e1353	1 Jahr, 10 Tage, 20 Minuten	Dieser Cookie wird gesetzt, um die E-Mail des Kommentierenden zu speichern, sofern diese Option beim Absenden eines Kommentars ausgewählt ist.
comment_author_url_59535bd8cbb3c735f20e210ea63e1353	1 Jahr, 10 Tage, 20 Minuten	Dieser Cookie wird gesetzt, um die URL des Kommentierenden zu speichern, sofern diese Option beim Absenden eines Kommentars ausgewählt ist.
cookielawinfo-checkbox-advertisement	1 Jahr	Dieser Cookie wird vom GDPR Cookie Consent-Plugin gesetzt. Er wird genutzt, um die Cookie-Präferenzen des Benutzers in der Kategorie "Werbung" zu speichern.
cookielawinfo-checkbox-analytics	11 Monate	Dieser Cookie wird vom GDPR Cookie Consent-Plugin gesetzt. Er wird genutzt, um die Cookie-Präferenzen des Benutzers in der Kategorie "Analyse" zu speichern.
cookielawinfo-checkbox-functional	11 Monate	Dieser Cookie wird vom GDPR Cookie Consent-Plugin gesetzt. Er wird genutzt, um die Cookie-Präferenzen des Benutzers in der Kategorie "Funktional" zu speichern.
cookielawinfo-checkbox-necessary	11 Monate	Dieser Cookie wird vom GDPR Cookie Consent-Plugin gesetzt. Er wird genutzt, um die Cookie-Präferenzen des Benutzers in der Kategorie "Notwendig" zu speichern.
cookielawinfo-checkbox-others	11 Monate	Dieser Cookie wird vom GDPR Cookie Consent plugin gesetzt. Er wird genutzt, um die Cookie-Präferenzen des Benutzers in der Kategorie "Andere" zu speichern.
cookielawinfo-checkbox-performance	11 months	Dieser Cookie wird vom GDPR Cookie Consent-Plugin gesetzt. Er wird genutzt, um die Cookie-Präferenzen des Benutzers in der Kategorie "Performance" zu speichern.
viewed_cookie_policy	11 Monate	Dieser Cookie wird vom GDPR Cookie Consent-Plugin gesetzt. Er wird genutzt, um zu speichern, ob der Nutzer der Nutzung von Cookies zugestimmt hat. Dieser Cookie enthält keine personenbezogenen Daten.
wordpress_test_cookie	Bis zum Beenden der Browsersitzung	Testet, ob Cookies gesetzt werden können, um die Benutzererfahrung zu verbessern.
wpo_commented_post	1 Woche	Wird gesetzt, nachdem der Benutzer einen Beitrag kommentiert hat.

Cookie	Dauer	Beschreibung
_ga	2 Jahre	Dieser Cookie wird von Google Analytics verwendet. Er wird genutzt, um Besucher-, Sitzungs- und Kampagnendaten zu berechnen und die Nutzung der Website für den Analysebericht der Website zu verfolgen. Die Cookies speichern Informationen pseudonym und weisen Besuchern eine zufällig generierte Nummer zu, um sie wiederzuerkennen.
_gat_gtag_UA_190443161_1	1 Minute	Dieser Cookie ist eine Google-Analytics Kennung.
_gid	1 Tag	Dieses Cookie wird von Google Analytics angelegt. Er wird verwendet, um Informationen darüber zu speichern, wie Besucher die Website nutzen und hilft bei der Erstellung eines Analyseberichts darüber, wie die Website funktioniert. Die gesammelten Daten umfassen die Anzahl der Besucher, die Quelle, von der sie kommen, und die besuchten Seiten in anonymer Form.

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Wird von Google DoubleClick verwendet und speichert Informationen darüber, wie der Nutzer die Website und Werbung anderer, ggf. vorher besuchten Websiten nutzt. Dies wird verwendet, um den Nutzern Anzeigen zu präsentieren, die für sie relevant sind.
test_cookie	15 minutes	Dieses Cookie wird von doubleclick.net gesetzt. Der Zweck des Cookies ist es, festzustellen, ob der Browser des Benutzers Cookies unterstützt.
VISITOR_INFO1_LIVE	5 months 27 days	Dieses Cookie wird von Youtube gesetzt. Er wird verwendet, um die Informationen der eingebetteten Youtube-Videos auf einer Website zu tracken.

Cookie	Dauer	Beschreibung
_ir		Dieser Cookie wird von Pinterest gesetzt. Der exakte Zweck ist unbekannt.
CONSENT	16 years 10 months	Der Zweck dieses Cookies ist es, zu speichern, ob der Benutzer auf einer externen Seite der Nutzung von Cookies zugestimmt hat.