School-app Scoolio lekt privégegevens van 400.000 leerlingen
De Duitse school-app Scoolio heeft via een onbeveiligde API de privégegevens van 400.000 minderjarige leerlingen gelekt. Het ging om het e-mailadres van leerlingen en bij jonge leerlingen ook van hun ouders, gps-locatie waar de app was geopend, schoolnaam en klas, interesses en gebruikersnaam.
De app maakte gebruik van een API waarmee het mogelijk was om van alle gebruikers hun profiel te bekijken, alsmede aanvullende informatie, zo ontdekte beveiligingsonderzoeker Lilith Wittmann. Op deze manier kon de data van 400.000 gebruikers worden opgevraagd. Scoolio claimt dat het 1,8 miljoen gebruikers heeft, maar volgens de onderzoeker ligt dit aantal veel lager.
Wittmann waarschuwde Scoolio op 21 september. De app-ontwikkelaar rolde op 25 oktober een oplossing uit. Volgens Wittmann had Scoolio het lek binnen 72 uur moeten dichten en alle gebruikers moeten informeren, zo laat ze tegenover MDR weten. Scoolio bedankt de onderzoeker op de eigen website voor het melden van de kwetsbaarheid en stelt dat het later dit jaar aanvullende beveiligingsmaatregelen zal doorvoeren.
Nu lijkt het net of de data gelekt is, terwijl hier slechts iemand juist heeft voorkomen dat het daadwerkelijk gelekt is. Nogal een verschil.
Juist bedrijven die dit zo openlijk naar buiten brengen wil je niet in een negatief daglicht zetten, dat ontmoedigd responsible disclosure.
Voorzet:
"Duitse School-app Scoolio repareert kwetsbaarheid waarmee privégegevens kinderen hadden kunnen lekken"
Wanneer de boel open staat weet je niet wie er wel of niet gebruik van heeft gemaakt.
Nu heeft iemand het gemeld, maar daarvoor is er wellicht iemand geweest die het niet heeft gemeld.
En dan is het volgens de regels van de wet een lek.
En dit stond potentieel al 5 jaar open, dan mag je wel van een lek spreken tenzij je 5 jaar logs hebt waar keihard uit blijkt dat niemand er aan zat. En spoiler: als dit soort fouten er in zaten heeft Scoolio zulke logs sowieso niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
