Lücke bei Lernplattform: Schüler-Daten landeten im Netz

Während der Pandemie mussten viele Schulen auf Lernplattformen umsteigen, um den Unterricht aus der Ferne zu ermöglichen. Ein solcher Dienst ist das Cloud-System des deutschen Hasso-Plattner-Instituts (HPI). Wie heise nun aufdeckte, waren hier aufgrund eines Datenlecks vertrauliche Inhalte von außen abrufbar.

Die Plattform wird seit 2016 als Open-Source-Lösung angeboten und wird vor allem von Schulen genutzt, die bisher kein eigenes System in Betrieb haben. Mit den Daten, die für die Entwicklung bei GitHub verfügbar sind, hätten sich Angreifer sehr einfach Zugang zu den Systemen verschaffen können.

Hürdenloser Zugriff

Dafür war lediglich der vergessene Demo-Account "schueler@schul-cloud.org" notwendig. Damit konnte man sich in die Thüringer Instanz der Plattform einloggen. Im Code der Software fand sich zudem ein Objekt mit der Endung "/teachersOfSchool". Darüber konnte man eine Liste mit Hunderten mit den Namen und IDs Hunderter Lehrer und den zugehörigen Schulen aufrufen. 

Über die Endung "//metrics" konnte man Daten zum Server im Browser abrufen, ohne dass man angemeldet sein musste. Dort fand sich auch eine Liste mit abgerufenen URLS. Diese führten zu Dateien, die von Schülern und Lehrern hochgeladen wurden.

Videos und Noten

Über die Links konnten diese einfach heruntergeladen werden. Dabei erhielt man Tests inklusive handschriftlicher Bewertung und die Noten einzelner Schüler sowie Videos in denen Gedichte vorgetragen wurden oder Kinder tanzten. Das Datenleck wurde inzwischen beseitigt.