Конфиденциальные данные 400000 немецких студентов, обнаруженные из-за недостатка API

34
Группа контроля качества Raven Software становится первым в США крупным профсоюзом видеоигр

Примерно 400 000 пользователей Scoolio, приложения студенческого сообщества, широко используемого в Германии, раскрыли конфиденциальную информацию из-за недостатка API в платформе.

Лилит Виттманн , исследователь безопасности из коллектива ИТ-безопасности Zerforchung, обнаружила ошибку и немедленно сообщила о своих результатах команде Scoolio.

«Студенческий» бизнес

Scoolio — это приложение для немецкого студенческого сообщества, цель которого — улучшить навыки управления временем, обучения, планирования домашних заданий и групповых чатов для общения со сверстниками. Приложение также позволяет компаниям общаться со студентами, чтобы делиться вакансиями или возможностями стажировки.

Scoolio зарабатывает деньги, собирая данные, созданные с помощью этих инструментов и функций, а затем монетизируя их с помощью целевой рекламы. Однако Scoolio заявляет, что они не собирают и не передают какую-либо информацию от студентов без их согласия.

Чтобы создать членство студентов, Scoolio заключила партнерские отношения со школами по всей Германии, чтобы использовать их платформу в качестве инструмента удаленного обучения для обмена файлами или удаленного сбора цифровых домашних заданий.

Это очень развитие было финансово поддержано тремя государственными инвестиционными группами, а именно SIB Innovations — und Beteiligungsgesellschaft mbH, Technologiegründerfonds Sachsen и Kreissparkasse Bautzen.

Благодаря партнерским отношениям и поддержке правительства многие студенты используют приложение в качестве стандартного инструмента в своих классах.

Данные, предоставленные утечкой API

В отчете Zerforchung Виттманн объясняет, как она использовала недостатки Scoolio API для получения чрезвычайно конфиденциальных данных для любого идентификатора пользователя, используемого в приложении.

Раскрытые личные данные включают:

  • Никнейм пользователя
  • Адреса электронной почты пользователя и родителей
  • Местоположение по GPS, в котором приложение было открыто в последний раз
  • Название школы и класса
  • Интересы
  • Детали UUID
  • Черты личности (происхождение, религия, сексуальность)

Виттман поделился вымышленной выборкой типов данных, обнаруженных при помощи указанной ниже уязвимости.

В то время как Scoolio заявляет, что их приложением пользуются 1,8 миллиона человек, исследователь полагает, что фактическое число приближается к 400 000 в зависимости от того, как создаются идентификаторы пользователей.

«Мы не можем точно сказать, сколько студентов затронуто. Поскольку scoolio искусственно завышает количество пользователей, создавая учетные записи, не спрашивая: как только вы загружаете приложение и открываете его один раз, создается пустой профиль с UUID — независимо от того, действительно ли вы хотите создать учетную запись пользователя », — поясняет отчет Zerforchung .

Исправление выпущено через тридцать дней

Zerforchung заявляет, что они сообщили Scoolio об уязвимости 21 сентября 2021 года, но разработчику программного обеспечения потребовалось время до 25 октября 2021 года, чтобы развернуть исправление.

Однако из-за простоты исправления и конфиденциального характера открытых данных, Виттманн считает, что исправление следовало выпустить быстрее.

«Я хотел бы поблагодарить г-жу Виттманн за информацию и паспорт безопасности для обмена и поблагодарить вас за ваш отзыв о наших мерах безопасности», — поделился в своем заявлении Дэнни Роллер, генеральный директор и основатель приложения Scoolio.

«К счастью, после тщательного тестирования мы можем подтвердить, что никакие пользовательские данные не были перехвачены третьими сторонами до расследования, проведенного г-жой Виттманн, и мы успешно закрыли обнаруженные пробелы».

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии