Logiciel-Lücke bei KigaRoo: Millionen Kita-Daten offen im Netz

Lucas Morel

Aufgrund une Schwachstelle in der Software KigaRoo standen more als deux Millionen Kita-Daten offen im Netz. Die Lücke wurde inzwischen geschlossen.

L’agent de sécurité Florian Hantke a obtenu un accès à la sécurité auprès de l’éditeur Kita-Software KigaRoo. Le site Nachrichtendienst Netzpolitik.org annonce aujourd’hui deux millions de données de personnes et d’enfants dans le réseau.

Le logiciel de KigaRoo est placé sous d’autres angles, l’assistance technique et l’écoute des kits de configuration. Zusätzlich können Eltern in einem eigenen Bereich mit individuellesn Zugangsdaten Details zu Kindern einsehen und etwa Abwesenheiten einstellen.

Der Anbieter legt nach eigenen Angaben großen Wert auf die Sicherheit the Daten. « Niemand außer Ihnen, Ihren Mitarbeitern und freigeschalteten Bezugspersonen kann die bijoux von Ihnen individuall freigegebenen Daten Ihrer Einrichtung einsehen », il est dazu bei Kigaroo.

Fehlerhafter Autorisierungscheck

Les avis sont présentés par Hantke dans une autre image. Les experts en sécurité ont été récompensés pour avoir un compte de test gratuit via les meilleures URL d’authentification qui peuvent générer des données massives. « Die Schwachstellen betrafen insbesondere fehlende oder fehlerhafte Autorisierungsprüfungen », erklärt Hantke. Il est vrai que si le format des URL peut être erroné ou erroné, il faut juste que l’ID de noix soit présent dans les données des bijoux.

Dem Forscher zufolge konnten solche Abfragen mit beliebigen IDs durchgeführt werden, die aus einer siebenstelligen Zahl bestanden. « Da alle genannten IDs numerisch waren and dadurch einfach hochgezählt werden konnten, ließen sich so vermutlich Daten aller Nutzer und Nutzerinnen abgreifen », führt Hantke aus.

L’expert en sécurité est davon aus, dass es sich um ca. 1.290.000 Dates de contact pour les personnes et 846.00 Dates de livraison pour les enfants, « die den Bezug zu der Einrichtungsstätte plus Contacts, Adresses, Bankdaten, Flüchtlingsstatus et ähnliches beinhaltet haben ». C’est pour cela que vous allez devoir vous lancer dans les comptes tests pour financer les opérations.

Le chercheur de sécurité KigaRoo est informé des informations fournies par la Schwachstelle. L’éditeur de logiciels a la chance de réussir. Zusätzlich habe KigaRoo die IDs (Identifier) ​​gegen UUIDs (Universally Unique Identifier) ​​ausgetauscht, was the Erraten erschwere, heißt es weiter.

Darüber hinaus hat KigaRoo den Fall auch bei der zuständigen Datenschutzbehörde gemeldet. Il s’agit d’une référence IDOR classique (Insecure Direct Object Reference) gérée par Netzpolitik.org avec les autorités. Zudem bestätigte die Datenschutzbehörde, dass es außer dem Zugriff durch den Sicherheitsforscher keine weiteren Zugriffe auf die Daten gab.

Auch vonseiten des Software-Anbieters donne un avertissement. Gegenüber Netzpolitik.org donne à KigaRoo une « définition définitive » qui lui permettra d’être en mesure de répondre à des questions non autorisées auf den Bestand Datenbestand gekommen sei. Zudem betont das Unternehmen, the « keinerlei Daten offen » standen – weil eben ein Test-Account notwendig war (KigaRoo nennt ces comptes « Admin-Accounts »). « Les solutions Schwachstelle ont un potentiel élevé au niveau des options disponibles dans KigaRoo pour faciliter l’utilisation des personnes, les allerdings nur über den Umweg eines weiteren Admin-Accounts ».

Lesetipp : Hacker nehmen Schulen in Visier

vgwort