Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android
Bloggar

Över 400 000 tyska studenters data läckt av ett felaktigt API

En säkerhetsforskare kunde utnyttja ett API-fel i Scoolio och få tillgång till personuppgifter från nästan 400 000 registrerade studenter.

Scoolio är en tysk app för studenter som främst används för utbildningsuppdateringar, journalföring och nätverkande. Efter att ha informerat Scoolios utvecklare om felet släpptes en fix denna vecka för att korrigera felet.

Scoolio läckte studentdata

Scoolio är en studentgemenskapsapp för tyska studenter, som används för handledning, bygga ledarskap, planering av läxor, nätverka med kamrater och till och med hitta jobbmöjligheter och praktikplatser.

Plattformen stöds av över tre statligt ägda investeringsgrupper, nämligen Technologiegründerfonds Sachsen, SIB Innovations – und Beteiligungsgesellschaft mbH och Kreissparkasse Bautzen. Således är det betrodda av alla studenter och utbildningsinstitutioner i landet, och används i det dagliga livet.

I september namngav en säkerhetsforskare Lilith Wittmann från företaget Zerforchung har upptäckt ett felaktigt API i Scoolio, genom vilken hon kunde komma åt personuppgifterna för nästan 400 000 användare. De exponerade uppgifterna inkluderar

  • Användarens smeknamn
  • Användar- och förälders e-postadresser
  • GPS-platsen där appen senast öppnades
  • Namn på skola och klass
  • Intressen
  • UUID-uppgifter
  • Personlighetsdrag (ursprung, religion, sexualitet)

Även om Scoolio skryter om att ha 1,8 miljoner registrerade studenter, kunde Wittmann bara hitta 400 000 poster, eftersom resten lurades av Scoolio med partiella konton. Hon sa att även om en potentiell användare laddade ner och öppnade appen kommer han/hon att få ett UUID.

Med tanke på sådana tomma konton skulle det faktiska antalet vara runt 400 000. Wittmann avslöjade felet för Scoolio den 21 september i år, som de svarade på med en patch den 25 oktober 2021.

Medan API-felet korrigerades nu, önskade Wittmann ett snabbare svar med tanke på typen av dataläckage och enkelheten i korrigeringsprocessen. Ändå uppskattades hon av Scoolio för avslöjandet och försäkrade att ingen har fått tillgång till de exponerade uppgifterna före henne.