Gegevens van 400.000 studenten onbeschermd online


Het beveiligingscollectief Zerforschung heeft talloze gaten in de “Scoolio”-app gedocumenteerd, waardoor gegevens van voornamelijk minderjarige studenten konden worden geraadpleegd. Volgens de app-aanbieder zijn de kwetsbaarheden inmiddels gedicht en loopt de documentatie sinds 20 september 2021 in een Responsible Disclosure-proces.

In Scoolio kunnen scholieren en leerkrachten roosters, huiswerk en andere plannen opslaan, maar de door advertenties gefinancierde app is ook een sociaal netwerk met kleine spelletjes en chatrooms. volgens een Blogbericht van Zerforschung de uit de gegevens verkregen persoonlijkheidsprofielen waren slecht beschermd.

Met behulp van een person-in-the-middle-proxy konden de beveiligingsonderzoekers de communicatie tussen de app en de server op hun eigen profiel observeren en zich een weg banen rond de eindpunten van de gebruikte API’s. Het team ontdekte dat profiel-ID’s konden worden gebruikt om de details van de gekoppelde accounts op te halen. In een interview met heise online schat beveiligingsonderzoeker Lilith Wittmann, die onlangs is gaan werken met Zerforschung, dat er ongeveer 400.000 profielen beschikbaar waren.

Omdat Scoolio ook vrij configureerbare chatrooms zoals “christenen” of “LGBTQ” toestaat, kunnen lidmaatschappen daar en de profiel-ID’s ook worden gebruikt om gegevens over religieuze of seksuele geaardheid te verzamelen van meestal minderjarige mensen.

De beveiligingsexperts zien ook een risico dat de app door volwassenen kan worden gebruikt Cybergrooming wordt misbruikt. Zo was het mogelijk om een ​​gebruikersprofiel aan te maken voor een persoon die naar verluidt 33 jaar oud zou zijn, waarmee onder andere toegang tot de chatgroep “Op zoek naar een vriend tussen 12 en 13” mogelijk was. Dit werd niet voorkomen door de moderatoren van Scoolio.

De Scoolio GmbH verwijst naar in een bericht over technische beschermingsmaatregelen ter bescherming van minderjarigen zoals een uploadfilter voor beeldbestanden en het blokkeren van e-mailadressen en telefoonnummers in chats. Daarnaast moeten er nog verbeteringen komen, die dan moeten worden gevolgd door een “veiligheidsaudit door externe IT-experts”. In het bericht bedankt Scoolio de beveiligingsexperts. Deze hebben alleen verwezen naar hun huidige publicatie als het eerste deel van de serie “Terug naar school” – verdere studies van school-apps zullen volgen.


(nooit)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: