Foto von David Clode via Unsplash
In der HPI-Schul-Cloud standen die Türen für Angreifer weit offen: Wie das Technik-Newsportal heise online berichtete
, standen etliche Schülerdaten und andere sensible Informationen aufgrund eines Datenlecks in der HPI-Schul-Cloud ungeschützt im Netz. Das bestäfigt auch das HPI im Blog zur Schulcloud.Vergessener Demo-Zugang
Ein anonymer Hinweisgeber hatte Heise den Hinweis gegeben, das es in einer öffentlich zugänglichen Konfigurationsdatei ein Demo-Zugang existierte, über den er sich in der Thüringer Schul-Cloud anmelden konnte. Die Daten waren deshalb auf GitHub veröffentlicht gewesen, da die HPI-Schul-Cloud als Open-Source-Projekt entwickelt wurde. Auf persönliche Schüler- oder Lehrerdaten konnte er damit jedoch nicht zugreifen.
Eine Lehrerliste auf GitHub
Auf dem gleichen Weg fand der Hinweisgeber jedoch auch solche Daten: An einer anderen Stelle fand er eine Datei, in der sich eine Liste befand, die die Namen und eine Benutzerkennung hunderter Lehrer enthielt, die in Thüringen registriert waren.
Serverstatistiken und Schülerdateien offengelegt
Außerdem konnte man bis vor kurzen auf sensible Serverdaten zugreifen, darunter unter anderem Auslastung der Prozessoren und des Arbeitsspreichers der Server. Die Informationen waren über den Browser öffentlich abrufbar. Solche Informationen sind für Angreifer ein Geschenk, denn so können sie Atackken planen, die den Server zum Absturz bringen, und die Effizienz ihrer Angriffe steigern. Erst im Januar war die Schul-Cloud einer solchen DDos-Atackke ausgesetzt.
Und es kommt noch besser: Über die gleiche Lücke boten sich dem Hinweisgeber Auszüge aus Serverlogs dar, die unter anderem Zugriffe auf die Teilen-Links nach dem Schema hpi-schul-cloud.de/link/Abc123DeFG protokolliert und sie dort im Klartext gespeichert hatten. So konnte jeder, der die Links fand und zugang zu einem Schulcloud-Konto hatte, auf die Dateien zugreifen. Heise fand bei Stichproben alles mögliche: Von habdschriftlich bewerteten Tests über Mitschnitte von Videokonferenzen bis hin zu Videos von Schülern, die in ihrem Wohnzimmer Gedichte vortrugen. Dieses Problem existierte laut Heise auch in der Hauptinstanz der HPI-Schul-Cloud, die auch das ESZC nutzt.
Vorbildliche Reaktion
Das HPI reagierte umgehend und schloss die Sicherheitslücken innerhalb von einer Stunde, wie es berichtet. Nun sind alle Fehler beseitigt. Und vielleicht hat ja sogar jemand die Andachten von unseren Lehrern gelesen und ist dadurch ermutigt worden – möglich wär’s ja.
Quellen
- https://www.heise.de/news/Datenlecks-in-der-HPI-Schul-Cloud-5061903.html (abgerufen am 27.02.2021)
- https://blog.hpi-schul-cloud.de/sicherheitsluecken-geschlossen/ (abgerufen am 27.02.2021)