image

School-app Scoolio lekt privégegevens van 400.000 leerlingen

donderdag 28 oktober 2021, 12:38 door Redactie, 4 reacties

De Duitse school-app Scoolio heeft via een onbeveiligde API de privégegevens van 400.000 minderjarige leerlingen gelekt. Het ging om het e-mailadres van leerlingen en bij jonge leerlingen ook van hun ouders, gps-locatie waar de app was geopend, schoolnaam en klas, interesses en gebruikersnaam.

De app maakte gebruik van een API waarmee het mogelijk was om van alle gebruikers hun profiel te bekijken, alsmede aanvullende informatie, zo ontdekte beveiligingsonderzoeker Lilith Wittmann. Op deze manier kon de data van 400.000 gebruikers worden opgevraagd. Scoolio claimt dat het 1,8 miljoen gebruikers heeft, maar volgens de onderzoeker ligt dit aantal veel lager.

Wittmann waarschuwde Scoolio op 21 september. De app-ontwikkelaar rolde op 25 oktober een oplossing uit. Volgens Wittmann had Scoolio het lek binnen 72 uur moeten dichten en alle gebruikers moeten informeren, zo laat ze tegenover MDR weten. Scoolio bedankt de onderzoeker op de eigen website voor het melden van de kwetsbaarheid en stelt dat het later dit jaar aanvullende beveiligingsmaatregelen zal doorvoeren.

Reacties (4)
28-10-2021, 20:04 door Anoniem
Is het wellicht mogelijk een onderscheid te gaan maken tussen "lekt privegegevens" en "bevatte een kwetsbaarheid"?

Nu lijkt het net of de data gelekt is, terwijl hier slechts iemand juist heeft voorkomen dat het daadwerkelijk gelekt is. Nogal een verschil.

Juist bedrijven die dit zo openlijk naar buiten brengen wil je niet in een negatief daglicht zetten, dat ontmoedigd responsible disclosure.

Voorzet:

"Duitse School-app Scoolio repareert kwetsbaarheid waarmee privégegevens kinderen hadden kunnen lekken"
29-10-2021, 11:33 door Anoniem
een schoolapp die locatie opslaat, klinkt als spionage of meer permissies dan nodig.
29-10-2021, 13:46 door Anoniem
Door Anoniem: terwijl hier slechts iemand juist heeft voorkomen dat het daadwerkelijk gelekt is. Nogal een verschil.
Dat is een aanname van jou die nergens op gebaseerd is.

Wanneer de boel open staat weet je niet wie er wel of niet gebruik van heeft gemaakt.
Nu heeft iemand het gemeld, maar daarvoor is er wellicht iemand geweest die het niet heeft gemeld.

En dan is het volgens de regels van de wet een lek.
07-11-2021, 05:29 door Anoniem
Sommige dingen worden in het Duits toch weer iets sappiger. Zo bevat de app een "Tinder für Kinder" functie :D

En dit stond potentieel al 5 jaar open, dan mag je wel van een lek spreken tenzij je 5 jaar logs hebt waar keihard uit blijkt dat niemand er aan zat. En spoiler: als dit soort fouten er in zaten heeft Scoolio zulke logs sowieso niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.