Schulplattform Mebis: Nürnberger Hacker finden mehrere Sicherheitslücken
21.8.2020, 13:52 Uhr
Mehr als eine Million User hat Mebis bereits: Die Plattform, die bayerischen Schülern und Lehrern seit 2017 das Lernen erleichtern soll, wird viel genutzt. Gerade in der Corona-Krise ist sie ein wichtiger Baustein des Schulalltags geworden. Lehrkräfte können mit der Software Unterrichtsmaterialien hinterlegen, Lernaufgaben austauschen und Schülern Feedback geben.
Doch ganz so sorglos sollten Nutzer das Internetportal offenbar doch nicht verwenden. Der Nürnberger Hacker-Verein 0x90.space e.V., der sich unter anderem für Datenschutz, freie Software und ein offenes Internet einsetzt, hat nun gleich mehrere Sicherheitslücken detektiert, die für Anwender gefährlich werden können.
Die schwerwiegendste ist dabei eine Cross-Site-Scripting-Lücke, durch die es Angreifern möglich ist, eine gefälschte Website unter einer Subdomain der bayerischen Staatsregierung an ihre Opfer zu verschicken und damit Accountdaten zu stehlen oder schädliche Software auf dem Computer zu verteilen. Diese Lücke ist laut Martin Rey vom Nürnberger Hackerspace 0x90.space e.V. seit dem 21. August behoben.
Corona-Krise: Lernplattform Mebis von Hackern lahmgelegt
Weiterhin besteht allerdings das Problem, dass Hacker relativ problemlos Datenbank-Einträge verändern können, die eigentlich nicht zur Änderung durch Nutzer vorgesehen sind. Über sogenannte "offene Weiterleitungen" können Links erstellt werden, die dann auf eine beliebige Website weiterleiten und so ebenfalls Potenzial für Phising- oder Malware-Attacken bieten.
Bis jetzt wurde noch nicht reagiert
Warum diese Sicherheitslücken auch Mitte August noch weiter bestehen, kann sich Rey nicht erklären. Bereits Mitte Mai setzte der Informatiker die Entwickler der Plattform über die gefundenen Probleme in Kenntnis, informierte später auch den bayerischen Landesbeauftragten für Datenschutz, Thomas Petri.
Eine 90-tägige Frist zur Behebung der Probleme verstrich, deshalb wendet sich der Verein nun an die Öffentlichkeit. "Ich kann nicht wirklich verstehen, warum bis jetzt nicht gehandelt wurde", sagt Rey. Technisch sei eine Behebung der Probleme nicht allzu kompliziert. "Ich habe bereits einmal ein Unternehmen über eine Cross-Site-Scripting-Lücke auf ihrer Seite informiert, innerhalb weniger Tage war die Sache behoben", erklärt er.
Probleme sollen schon behoben sein
Nach Angaben des bayerischen Kultusministeriums habe man die in Rede stehenden Sicherheitslücken allerdings bereits behoben. "Nach Eingang der Hinweise hat das Staatsinstitut für Schulqualität und Bildungsforschung (ISB) die Fehler analysiert und die notwendigen Softwareanpassungen in die Wege geleitet." Ein IT-Dienstleister habe eine korrigierte Software entwickelt und installiert. Zudem würden routinemäßig Tests zur Qualitätssicherung durchgeführt.
Es gebe außerdem keine Hinweise darauf, dass die Sicherheitslücken genutzt wurden.Die Verbesserungsvorschläge von 0x90.space nehme man gerne an: "Das (ISB) arbeitet kontinuierlich daran, für alle Teilangebote von mebis auch hinsichtlich Datensicherheit und Datenschutz stets höchste Standards zu erfüllen, um der Schulgemeinschaft stets ein verlässliches und attraktives Angebot bereitstellen zu können. Daher sind auch Hinweise, wie die der Hacker-Gruppe '0x90.space', sehr willkommen."
Dass alle Lücken behoben sind, kann Rey hingegen nicht bestätigen. Das Open Redirect, also eine Weiterleitung von Logout-Seiten auf eine beliebige externe URL, ist auch am frühen Freitagabend noch möglich gewesen. So können User zu einer fremden Malware- oder Phishing-Seite umgeleitet werden, wie der ox90.space auf seinem Blog mitteilt.
Dieser Artikel wurde mehrfach aktualisiert, zuletzt um 17.06 Uhr.
0 Kommentare
Um selbst einen Kommentar abgeben zu können, müssen Sie sich einloggen oder sich zuvor registrieren.
0/1000 Zeichen