API漏洞导致40万德国学生敏感数据暴露

2024-10-31

在德国广泛使用的学生社区应用程序 Scoolio 的大约四十万名用户由于平台中的 API 缺陷而暴露了敏感数据信息。

来自 IT 安全集体“Zerforchung”的安全研究员Lilith Wittmann发现了该漏洞，并立即向 Scoolio 团队披露了他们的发现。

学生社区应用程序

Scoolio 是一款德国学生社区应用程序，旨在培养更好的时间管理技能、辅导、家庭作业计划以及与同龄人交流的群聊。该应用程序还允许公司与学生建立联系，分享职位空缺或实习机会。

Scoolio 通过收集通过这些工具和功能生成的数据，然后通过有针对性的广告将其货币化来赚钱。但是，Scoolio 表示，未经学生同意，他们不会收集或分享学生的任何信息。

为了建立学生会员资格，Scoolio 与德国各地的学校合作，将他们的平台用作远程教学辅助工具，用于文件交换或远程数字作业收集。

它的发展得到了三个国有投资集团的资金支持，即 SIB Innovations - und Beteiligungsgesellschaft mbH、Technologiegründerfonds Sachsen 和 Kreissparkasse Bautzen。

由于合作伙伴关系和政府支持，许多学生在课堂上使用该应用程序作为标准工具。

API漏洞致40万学生数据泄露

在 Zerforchung 的报告中，Wittmann 解释了她如何利用 Scoolio API 缺陷来检索应用程序上使用的任何用户 ID 的极其敏感的数据。

暴露的个人数据包括：

用户昵称
用户和电子邮件地址
上次打开应用程序的 GPS 位置
学校和班级名称
兴趣
UUID 详细信息
人格特征（出身、宗教、性取向）

Wittman 分享了一个由以下缺陷暴露的数据类型的虚构样本。

虽然 Scoolio 表示有 180 万人使用他们的应用程序，但研究人员认为，根据用户 ID 的创建方式，实际数字接近 400,000。

“我们无法确切说出有多少学生受到影响。因为 scoolio 通过创建帐户而人为地夸大其用户数量，而无需询问：只要您下载应用程序并打开它一次，就会生成一个带有 UUID 的空配置文件 - 无论您是否真的想要创建一个用户帐户，” Zerforchung 报告解释道。

修复版本在三十天后发布

Zerforchung 表示，他们于 2021 年 9 月 21 日向 Scoolio 披露了该漏洞，但软件开发人员直到 2021 年 10 月 25 日才部署补丁。

然而，由于修复的简单性和暴露数据的敏感性，Wittmann 认为修复应该更快地发布。

“我要感谢 Wittmann 女士提供的信息和 SDS 的交流，并感谢您对我们的安全措施的反馈，”Scoolio 应用程序的首席执行官兼创始人 Danny Roller 在一份声明中分享道。

“幸运的是，经过广泛的测试，我们可以确认在 Wittmann 女士调查之前没有第三方拦截任何用户数据，我们已经成功弥补了发现的漏洞。”

TAG：

上一篇 : 科罗拉多大学发生数据泄露或影响3万名学生

下一篇 : 企业发生网络安全事故应如何处置？

文章标签

文档加密软件

文档信息安全管理软件

上网行为管理软件

应用程序管控软件

敏感文件管理软件

U盘设备管控软件

文件分发软件

IT资产管理软件

电脑操作记录软件

远程控制软件

聊天管控软件

敏感信息报警

屏幕管控

内网管理

深度行为分析

电脑屏幕录像

实时管控

补丁管理

网络准入控制管理系统