massive Sicherheitslücke in LernApp “Anton” + Stellungnahme der Firma Solocode

Nach einem Bericht des bayrischen Rundfunks (BR) gab es eine massive Sicherheitslücke in der LernApp “Anton”. Über diese Lücke ist es Außenstehenden möglich gewesen Daten, darunter Vor- und Nachname, Klassenzugehörigkeit, Schule, Lernfortschritte oder Loginzeiten, auszulesen oder sich als Lehrkräfte auszugeben. Laut EU-DSGVO liegt das Schutzniveau von Kindern noch einmal höher als bei Erwachsenen.

Ob und in welchem Umfang Daten abgeflossen sind, ist aktuell noch nicht genau bekannt.

Die Schwachstelle wurde von der Berliner Firma Solocode, Entwickler der Anton-App, umgehend behoben. Solocode hatte umgehend die Berliner Datenschutzbehörde über den Vorgang informiert.

Quelle:
Tagesschau.de vom 10. März 2021
Frankfurter Rundschau vom 10. März 2021

Update:
Die Firma Solocode, Hersteller der Software “Anton”, hat dazu eine Stellungnahme veröffentlicht. Diese ist unter https://anton.app/de/sicherheit/ veröffentlicht.

Dort heisst es:
“Am 03. März 2021 um 18:01 erhielten wir einen Hinweis auf eine Sicherheitslücke bei Programmierschnittstellen unserer App ANTON. Die Sicherheitslücke wurde von uns am 03. März 2021 um 20:41 geschlossen. Das wurde vom Hinweisgeber bestätigt.
Wir haben keinerlei Anzeichen dafür, dass die Sicherheitslücke vor der Meldung und ihrer Beseitigung ausgenutzt wurde. Nach derzeitigem Kenntnisstand ist kein unberechtigter Zugriff auf personenbezogene Daten erfolgt.
Da diese aber mindestens durch den Hinweisgeber abgerufen werden konnten, handelt es sich um einen meldepflichtigen Vorfall. Wir haben den Vorfall bei der zuständigen Datenschutzbehörde gemeldet.
Wir untersuchen, ob es in der Vergangenheit Versuche gegeben hat, die Sicherheitslücke auszunutzen. Sollten wir Anzeichen für einen Missbrauch finden, werden wir betroffene Schulen, Nutzer/innen und die Datenschutzbeauftragten umgehend informieren.
Es wäre einem potenziellen Angreifer möglich gewesen, durch Modifikation der Anfragen an Programmierschnittstellen den Authentifizierungsmechanismus zu umgehen und unautorisiert einzelne Datensätze abzurufen.
Die Ausnutzung der Lücke hätte nicht einfach per menschlicher Interaktion mit der App erfolgen können, weder gezielt noch zufällig. Es hätte einer geschickten Vorgehensweise mithilfe von Programmiercode bedurft, für die man Kenntnisse von Webtechnologie, gute analytische Fähigkeiten sowie Programmierkenntnisse benötigt.
Es wäre theoretisch möglich gewesen, für bestimmte Nutzerkonten den Spitznamen, die Schulzugehörigkeit und die Gruppen- bzw. Klassenzugehörigkeit einzusehen. Sofern angegeben, hätte man auch Vor- und Nachnamen einsehen können.
In Einzelfällen wäre es möglich gewesen, die Daten von vorbereiteten, aber noch nicht aktiven Gruppenmitgliedern durch manuell modifizierte Anfragen an die Programmierschnittstellen abzufragen. Es handelte sich hierbei um vorbereite Mitglieder, die sich aber bisher noch nie als ANTON-Nutzer angemeldet haben und nicht Mitglied einer Schullizenz-Schule sind.
In dem sehr seltenen Fall von Gruppen mit mind. 2 Lehrkräften, bei denen die zweite Lehrkraft noch kein/e aktive/r ANTON-Nutzer/in war und der Angreifer Mitglied der Gruppe selbst sein muss, konnte die vorbereitete Lehrkraft unberechtigt aktiviert werden. Damit konnten die erweiterten Funktionen dieses Lehrkraft-Nutzers ausgenutzt werden, um etwa den Lernfortschritt einzelner Schüler/innen einzusehen, Aufgaben zu pinnen und eine Gruppennachricht als Text in die Gruppe einzustellen.

Es ist kein Update der App und keine Neuinstallation notwendig.

Bei Fragen schreiben Sie uns gerne an support@anton.app”