400-099-0376

在线试用
微信扫码联系专属客服
安企神软件官网
首页
下载中心
客户列表
关于安企神

API漏洞导致40万德国学生敏感数据暴露

2024-10-31

在德国广泛使用的学生社区应用程序 Scoolio 的大约 四十万名用户由于平台中的 API 缺陷而暴露了敏感数据信息。

来自 IT 安全集体“Zerforchung”的安全研究员Lilith Wittmann发现了该漏洞,并立即向 Scoolio 团队披露了他们的发现。

学生社区应用程序

Scoolio 是一款德国学生社区应用程序,旨在培养更好的时间管理技能、辅导、家庭作业计划以及与同龄人交流的群聊。该应用程序还允许公司与学生建立联系,分享职位空缺或实习机会。

Scoolio 通过收集通过这些工具和功能生成的数据,然后通过有针对性的广告将其货币化来赚钱。但是,Scoolio 表示,未经学生同意,他们不会收集或分享学生的任何信息。

为了建立学生会员资格,Scoolio 与德国各地的学校合作,将他们的平台用作远程教学辅助工具,用于文件交换或远程数字作业收集。

它的发展得到了三个国有投资集团的资金支持,即 SIB Innovations - und Beteiligungsgesellschaft mbH、Technologiegründerfonds Sachsen 和 Kreissparkasse Bautzen。 

由于合作伙伴关系和政府支持,许多学生在课堂上使用该应用程序作为标准工具。

API漏洞致40万学生数据泄露

在 Zerforchung 的报告中,Wittmann 解释了她如何利用 Scoolio API 缺陷来检索应用程序上使用的任何用户 ID 的极其敏感的数据。

暴露的个人数据包括:

  • 用户昵称
  • 用户和电子邮件地址
  • 上次打开应用程序的 GPS 位置
  • 学校和班级名称
  • 兴趣
  • UUID 详细信息
  • 人格特征(出身、宗教、性取向)

Wittman 分享了一个由以下缺陷暴露的数据类型的虚构样本。

虽然 Scoolio 表示有 180 万人使用他们的应用程序,但研究人员认为,根据用户 ID 的创建方式,实际数字接近 400,000。

“我们无法确切说出有多少学生受到影响。因为 scoolio 通过创建帐户而人为地夸大其用户数量,而无需询问:只要您下载应用程序并打开它一次,就会生成一个带有 UUID 的空配置文件 - 无论您是否真的想要创建一个用户帐户,” Zerforchung 报告解释道。

修复版本在三十天后发布

Zerforchung 表示,他们于 2021 年 9 月 21 日向 Scoolio 披露了该漏洞,但软件开发人员直到 2021 年 10 月 25 日才部署补丁。

然而,由于修复的简单性和暴露数据的敏感性,Wittmann 认为修复应该更快地发布。

“我要感谢 Wittmann 女士提供的信息和 SDS 的交流,并感谢您对我们的安全措施的反馈,”Scoolio 应用程序的首席执行官兼创始人 Danny Roller 在一份声明中分享道。

“幸运的是,经过广泛的测试,我们可以确认在 Wittmann 女士调查之前没有第三方拦截任何用户数据,我们已经成功弥补了发现的漏洞。”

  • TAG: