Daten-Leak: Lernplattform unsicher

Written by on 2. März 2021

Wegen eines Datenlecks konnten ganze Videos von Home-Schooling-Einheiten aus der HPI-Cloud heruntergeladen werden.

Um den Unterricht auch von zu Hause aus abhalten können, stiegen Schulen auf Angebote von Online-Plattformen um. Ein dafür konzipiertes System stellt das Hasso-Plattner-Institut (HPI) zur Verfügung. Hier kam es jedoch zu massiven Datenlecks, wodurch vertrauliche Inhalte auch von außenstehenden Personen abrufbar wurden.  Ein solcher Dienst ist das Cloud-System des deutschen Hasso-Plattner-Instituts (HPI).

Viele Schulen, die keine eigenen Systeme für die Fernlehre vor der Corona-Pandemie hatten, griffen auf das Open-Source-Angebot von HPI zurück. Da die Bausteine für die Lösung jedoch auf Github verfügbar waren, war es für technisch versierte Personen leicht, auf die Daten zuzugreifen.

Dateien und Infos leicht zugänglich

Für den Einstieg war es lediglich notwendig, den in Vergessenheit geratenen Demo-Account schueler@schul-cloud.org zu benutzen. Damit gelang es sich auf die Daten von Schulen aus Thüringen Zugriff zu bekommen. Wer einen Blick auf den Code war, konnte ein Objekt mit der Endung “/teachersOfSchool” entdecken. Damit war es ein Leichtes, die Namen und IDs hunderter Lehrer aufzurufen.

Auch ohne Login war es möglich, mit der Endung //metrics auf Serverdaten zuzugreifen. Im Browser erscheinen URLs, hinter denen sich Uploads von Schülern und Lehrern verbargen.

Beim Aufruf der Links konnten die Dateien heruntergeladen werden. Darunter befanden sich ausgefüllte Tests inklusive Bewertung, Noten für einzelne Schüler sowie Videos, die Schüler beim Tanzen oder Gedichte aufsagen zeigten. Mittlerweile wurde das Datenleck geschlossen.

Links:
Bericht von heise


Current track

Title

Artist

Background