CampusNet yönetim yazılımındaki bir boşluk öğrenci adreslerine erişime izin verdi. Bir güvenlik araştırmacısı bunu keşfetti ve güvenlik açığını Kaos Bilgisayar Kulübü'ne (CCC) bildirdi. Sorunun çözümünü üreticiyle birlikte koordine ettik: Etkilenen kurumların çoğu hızlı tepki verdi.
Duyurudan sonra devamını okuyun
Üreticisi Datenlotsen'e göre CampusNet, “entegre bir kampüs yönetim sistemidir” [Bildungseinrichtungen] günlük akademik ve idari süreçleri optimize etmeye yardımcı olur.” CampusNet'in birçok fonksiyonuna İnternet üzerinden de erişilebilir: “CampusNet” yazdığınızda erişim portallarının sayfalarını bulacaksınız. Bu portallar aracılığıyla öğrenciler üniversite kayıtlarını yönetebilirler.
Ancak biraz sabır ve otomasyonla saldırganlar, toplamda bir milyondan fazla öğrencinin adreslerini bir araya getirmek için bir arama maskesi kullanabilirdi. Ana sorun: arama alanı aynı zamanda “%” joker karakterini kullanarak joker karakter aramaya da izin veriyordu ve bu nedenle tüm geçerli veri kayıtlarını döndürüyordu. Bunlar, etkilenen eğitim kurumunda son yıllarda ve şu anda kayıtlı olan tüm öğrencilerin yaklaşık isimleriydi.
Araştırmacılar posta kodlarını, sokak adlarını ve ev numaralarını denediğinde, ilgili bileşenin adresini aldığı tüm (eski) öğrencilerin adlarını aldılar. Güvenlik araştırmacıları çapraz referansları akıllıca oluşturarak tüm adreslerin parçalarını bir araya getirmeyi başardılar. Bir öğrenci dizini elde etmek için bu süreç kolayca otomatikleştirilebilir. CCC'nin sayımına göre toplam 1.140.919 eski veya mevcut öğrenci veri sızıntısından etkileniyor.
Üreticiler ve üniversiteler yanıt verdi
CCC, üretici Datenlotsen'i, DFN-CERT'i (Alman Araştırma Ağı – Bilgisayar Acil Durum Müdahale Ekibi) ve etkilenen 22 eğitim kurumunu 23 Şubat'ta bilgilendirdikten sonra hemen tepki gösterdi: Kurumların çoğu veri sızıntısını aynı gün düzeltti ve ilgili arama maskesine erişim artık tüm kayıtlı üniversitelerde çalışmıyor.
CCC'nin bir blog yazısında yazdığı gibi, bazı kurumlar bir uygulama raporuyla yanıt vermekte başarısız oldu, ancak sözcü Matthias Marx hâlâ oldukça memnun: “Üniversitelerin çoğunluğunun bu kadar hızlı ve profesyonelce tepki vermesi sevindirici. Yalnızca dört kurumun geleceğe yönelik bilgilere çok az ilgisi var gibi görünüyor.”
Veriler sızdırıldı mı? Polis akademisi de vuruldu
Duyurudan sonra devamını okuyun
Veri sızıntısı muhtemelen çoğu öğrenci için can sıkıcı olacaktır; kimlik hırsızlığı yapan suçlulara yardımcı olur. Ancak Hamburg Polis Akademisi'ne kayıtlı olanlar için ilave güvenlik riskleri söz konusu olabilir. Ancak verilerin açık joker karakter araması yoluyla gerçekten yetkisiz ellere geçip geçmediği belli değil.
İlgili üniversiteler ve okullar şunlardı:
- Hamburg Polis Akademisi
- Bremen İnşaatçı Üniversitesi
- EBS Ekonomi ve Hukuk Üniversitesi
- HCU Hamburg
- HFK Bremen
- Sürdürülebilir Kalkınma için Eberswalde Üniversitesi
- Neubrandenburg Üniversitesi
- Batı Ruhr Üniversitesi
- HS Osnabrück
- Kalaidos Uygulamalı Bilimler Üniversitesi
- Merz Akademi
- Yeni Tasarım Üniversitesi
- THH Friedensau
- TU Darmstadt
- SİZ Dresden
- Bremen Üniversitesi
- Hamburg Üniversitesi
- Leipzig Üniversitesi
- Mainz Üniversitesi
- Paderborn Üniversitesi
- Avrupa Uygulamalı Bilimler Üniversitesi
- Üniversite ağının uzaktan eğitim merkezi
Etkilenen üniversitelerden bazıları, veri koruma ve bilgi edinme özgürlüğü (LfDI) konusunda ilgili eyalet yetkililerini bilgilendirdi ve CCC de raporlama ofisleriyle iletişime geçti.
Çoğu araştırmacı araştırma ancak bilgi verenlerin anonim bilgileri sayesinde mümkündür.
Kamuoyunun bilmesi gereken bir konu hakkında bilginiz varsa bize bilgi ve materyal sağlayabilirsiniz. Anonim ve güvenli gelen kutumuzu kullanın.
https://Haber/investigativ
2020 yılında HBYS üniversite yönetim yazılımında benzer bir güvenlik açığına rastlanmamıştır.
(cku)
Bir yanıt yazın