Vijesti o Tehnologiji, Recenzije i Savjeti!

Više od 400 000 podataka njemačkih studenata procurilo je zbog pogrešnog API-ja

Sigurnosni istraživač uspio je iskoristiti API propust u Scooliou i pristupiti osobnim podacima gotovo 400.000 studenata registriranih u njemu.

Scoolio je njemačka aplikacija za studente, koja se uglavnom koristi za obrazovna ažuriranja, vođenje evidencije i umrežavanje. Nakon što je o pogrešci obavijestio Scooliovog programera, ovaj je tjedan objavljen popravak za zakrpu buga.

Scoolio je otkrio studentske podatke

Scoolio je aplikacija studentske zajednice za njemačke studente, koja se koristi za podučavanje, vještine upravljanja zgradama, planiranje domaćih zadaća, umrežavanje s kolegama, pa čak i pronalaženje prilika za posao i stažiranje.

Platformu podupiru više od tri investicijske grupe u državnom vlasništvu, naime Technologiegründerfonds Sachsen, SIB Innovations – und Beteiligungsgesellschaft mbH i Kreissparkasse Bautzen. Stoga mu vjeruju svi učenici i obrazovne ustanove u zemlji i koristi se u svakodnevnom životu.

U rujnu je istraživač sigurnosti imenovan Lilith Wittmann tvrtke Zerforchung je otkrio pogrešan API u Scooliou, putem koje je uspjela pristupiti osobnim podacima gotovo 400.000 korisnika. Izloženi podaci uključuju

  • Korisnički nadimak
  • E-mail adrese korisnika i roditelja
  • GPS lokacija na kojoj je aplikacija zadnji put otvorena
  • Naziv škole i razreda
  • Interesi
  • detalji UUID-a
  • Osobine ličnosti (podrijetlo, vjera, seksualnost)

Iako se Scoolio hvali da ima 1.8 milijuna registriranih studenata, Wittmann je uspio pronaći samo 400 000 zapisa, jer je ostale prevario Scoolio s djelomičnim računima. Navela je da, čak i ako potencijalni korisnik preuzme i otvori aplikaciju, on / ona će dobiti UUID.

Ne uzimajući u obzir ovako prazne račune, stvarna brojka bila bi oko 400.000. Wittmann je otkrio grešku Scooliu 21. rujna ove godine, na što su oni odgovorili zakrpom 25. listopada 2021.

Iako je greška API-ja sada zakrpana, Wittmann je želio brži odgovor s obzirom na prirodu curenja podataka i jednostavnost procesa krpanja. Ipak, Scoolio ju je cijenio zbog otkrivanja i uvjeravao je da nitko prije nje nije pristupio izloženim zapisima.