Lordn – Shutterstock.com
Der Sicherheitsforscher Florian Hantke hat kürzlich eine Sicherheitslücke beim Kita-Software-Anbieter KigaRoo aufgedeckt. Wie der Nachrichtendienst Netzpolitik.org berichtet, waren deshalb zeitweise zwei Millionen Datensätze von erwachsenen Personen und von Kindern offen im Netz zugänglich.
Die Software von KigaRoo dient unter anderem dazu, die Mitarbeiterverwaltung abzuwickeln und Wartelisten für Kitaplätze zu verwalten. Zusätzlich können Eltern in einem eigenen Bereich mit individuellen Zugangsdaten Details zu Kindern einsehen und etwa Abwesenheiten einstellen.
Der Anbieter legt nach eigenen Angaben großen Wert auf die Sicherheit der Daten. „Niemand außer Ihnen, Ihren Mitarbeitern und freigeschalteten Bezugspersonen kann die jeweils von Ihnen individuell freigegebenen Daten Ihrer Einrichtung einsehen“, heißt es dazu bei Kigaroo.
Fehlerhafter Autorisierungscheck
Allerdings zeigt der Bericht von Hantke ein anderes Bild. Der Security-Experte stellte fest, dass sich mit einem kostenlosen Testaccount über den Aufruf bestimmter URLs potenziell massenhaft Daten abziehen lassen. „Die Schwachstellen betrafen insbesondere fehlende oder fehlerhafte Autorisierungsprüfungen“, erklärt Hantke. Das heißt, wer das Format der URLs kannte oder erraten hatte, musste einfach nur die Nutzer-ID ändern, um Zugriff auf den jeweiligen Datensatz zu erhalten.
Dem Forscher zufolge konnten solche Abfragen mit beliebigen IDs durchgeführt werden, die aus einer siebenstelligen Zahl bestanden. „Da alle genannten IDs numerisch waren und dadurch einfach hochgezählt werden konnten, ließen sich so vermutlich Daten aller Nutzer und Nutzerinnen abgreifen“, führt Hantke aus.
Der Sicherheitsexperte geht davon aus, dass es sich um ca. 1.290.000 Datensätze erwachsener Personen und 846.00 Datensätze von Kindern gehandelt hat, „die den Bezug zu der Einrichtungsstätte plus Kontaktdaten, Adressen, Bankdaten, Flüchtlingsstatus und ähnliches beinhaltet haben“. Es sei allerdings denkbar, dass sich darunter auch Test-Accounts befunden hätten.
Der Sicherheitsforscher hat KigaRoo umgehend über die Schwachstelle informiert. Der Software-Anbieter hat die Lücke daraufhin geschlossen. Zusätzlich habe KigaRoo die IDs (Identifier) gegen UUIDs (Universally Unique Identifier) ausgetauscht, was das Erraten erschwere, heißt es weiter.
Darüber hinaus hat KigaRoo den Fall auch bei der zuständigen Datenschutzbehörde gemeldet. Es habe sich um eine klassische IDOR-Lücke (Insecure Direct Object Reference) gehandelt, teilte die Behörde gegenüber Netzpolitik.org mit. Zudem bestätigte die Datenschutzbehörde, dass es außer dem Zugriff durch den Sicherheitsforscher keine weiteren Zugriffe auf die Daten gab.
Auch vonseiten des Software-Anbieters gibt es Entwarnung. Gegenüber Netzpolitik.org gibt KigaRoo an, „definitiv ausschließen“ zu können, dass es zu unberechtigten Zugriffen auf den Datenbestand gekommen sei. Zudem betont das Unternehmen, dass „keinerlei Daten offen“ standen – weil eben ein Test-Account notwendig war (KigaRoo nennt diese Accounts „Admin-Accounts“). „Die gemeldete Schwachstelle hätte potenziell Zugriff auf Auszüge einzelner in KigaRoo erfasster Personendatensätze ermöglicht, dies allerdings nur über den Umweg eines weiteren Admin-Accounts“.
Lesetipp: Hacker nehmen Schulen ins Visier
