Lordn – Shutterstock.com
Der Sicherheitsforscher Florian Hantke hat recently eine Sicherheitslücke beim Kita-Software-Anbieter KigaRoo aufgedeckt. Wie der Nachtrichtendienst Netzpolitik.org berichtet, waren deshalb zwei Millionen Datensätze von erwachsenen Personen und von Kindern offen im Netz bezüglich.
Die Software von KigaRoo uses anderem dazu, Mitarbeiterverwaltung abzuwickeln and Wartelisten für Kitaplätze zu Verwalten. In addition, parents can view information about their children in an einem eigene Bereich mit individualen Zugangsdaten.
Der Anbieter legt nach eigen Angaben großen Wert auf die Sicherheit der Daten. “Niemand außer Ihnen, Ihren Mitarbeiter und freigeschlateten Bezugspersonen kann die each of Ihnen individual freigegeben Daten Ihrer Einrichtung einsehen”, heißt es dazu bei Kigaroo.
Fehlerhaft Autorisierungscheck
Allerdings zeigt der Bericht von Hantke ein anderes Bild. Der Security-Experte stellte fest, dass sich mit einem kostenlosen Testaccount über den Aufruf bestimmter URLs potenzien massenhaft Daten abziehen lassen. “Die Schwachstellen betrafen in particular fehlende oder fehlerhafte Autorisierungsprüfungen”, erklärt Hantke. For more information, click Format different URLs, they must include Nutzer-ID ändern, um Zugriff or jeweiligen Datensatz zu erhalten.
Dem Forscher zufolge konnten solche Abfragen mit beliebigen IDs gewicht werden, die aus einer siebenstelligen Zahl bestan. “Da all neinnenten IDs numerisch waren und deruch einfach hochgezählt werden konnten, ließen sich so vermutlich Daten aller Nutzer und Nutzerinnen abgreifen”, führt Hantke aus.
Der Sicherheitsexperte geht davon aus, dass es sich um ca. 1.290.000 Datensätze erwachsener Personen und 846.00 Datensätze von Kindern gehandelt hat, „die den Bezug zu der Einrichtungsstätte plus Kontaktdaten, Adressen, Bankdaten, Flüchtlingsstantus hatben bei“. Based on the denkbar, dass sich darunter auch Test-Accounts befunden hatenn.
Der Sicherheitsforscher hat KigaRoo umgehend über die Schwachstelle informed. Der Software-Anbieter hat die Lücke darafin geschlossen. Additionally habe KigaRoo die IDs (Identifier) gegen UUIDs (Universally Unique Identifier) ausgetauscht, was das Erraten erschwere, heißt es weiter.
Darüber hinaus hat KigaRoo den Fall auch bei der bei der geschäften Datenschutzbehörde megeldet. Es habe sich um eine klassische IDOR-Lücke (Insecure Direct Object Reference) gehandelt, teilte die Behörde gegenben Netzpolitik.org mit. In addition, die Datenschutzbehörde confirmed that it did not give any further access to data.
Auch vonseiten des Software-Anbieters gibt es Entwarnung. Gegenüber Netzpolitik.org gibt KigaRoo an, „definitiv ausschließen“ zu können, dass es zu unberechtigten Zugriffen auf den Datenbestand gekommen sei. Dudden betont das Unternehmen, dass „keinerlei Daten offen“ standen – weil eben ein Test-Account notwendig war (KigaRoo accounts nennt diese „Manager-Accounts”). “Die meldlete Schwachstelle hätte potenzial Zugriff auf Auszüge einzelner in KigaRoo erförter Personendatensätze ermöglicht, dies allerdinges nur über den Umweg eines weiteren Admin-Accounts”.
Lesetipp: Hacker nehmen Schulen ins Visier
Source link