Am Wochenende haben wir dank Hinweis eines Nutzers eine kritische Sicherheitslücke in der Infrastruktur unserer App gefunden und behoben. In diesem Artikel informieren wir Sie über die möglichen Auswirkungen der Sicherheitslücke und über die Maßnahmen, die wir zu deren Behebung getroffen haben.
Wir möchten uns für diesen Vorfall zutiefst entschuldigen. Die Sicherheit Ihrer Daten liegt uns sehr am Herzen und wir geben uns große Mühe, dass solche Vorkommnisse nicht passieren. Leider sind auch wir nur Menschen und Fehler kommen vor. Wir setzen dann jedoch alle uns zur Verfügung stehenden Ressourcen ein, das Problem schnell zu beheben, Sie ehrlich zu informieren, und Maßnahmen zu treffen, dass das Problem nicht wieder auftreten kann.
Wenn Sie noch Fragen zur Thematik haben, erreichen Sie unser Produkt-Team unter info@vertretungsplan.app sowie unsere Datenschutzbeauftragte unter datenschutz@rami.io.
Was passiert ist
Am 2. Juli 2019 haben wir unserer App eine neue Funktion eingebaut, die es Schulen einfacher macht, Vertretungspläne an uns zu übermitteln. Im Zuge dieser Änderung kam es bei uns zu einem unbemerkten Tippfehler, der dazu führte, dass unsere API-Schnittstelle nicht mehr korrekt prüfte, ob ein zugreifender Nutzer über die nötige Berechtigung verfügt.
So war es auch ohne notwendige Authentifizierung möglich, auf Schnittstellen zuzugreifen, die eigentlich nur unserem Entwicklungsteam zur Fehlerdiagnose zugänglich sein sollten. Hierbei handelt es sich hauptsächlich um technische Daten, z.B. wann der Vertretungsplan welcher Schule zuletzte abgerufen wurde und welche Fehler dabei aufgetreten sind.
Bei einer dieser Schnittstellen waren jedoch in der Ausgabe auch die Benutzernamen und Passwörter enthalten, die zum Abruf der Vertretungspläne von den Schulen verwendet wurden.
Welches Risiko besteht
Es ist möglich, dass im Zeitraum vom 2. Juli 2019 bis zum 07. März 2020 jemand unberechtigterweise Zugriff auf diese Schnittstelle erlangt hat und darüber Benutzernamen und Passwörter von Benutzern der App auslesen konnte.
Es gibt keinen Hinweis darauf, dass dies passiert ist und sich die Daten tatsächlich in unbefugten Händen befinden. Wir können die Möglichkeit jedoch nicht ausschließen.
Was Sie unternehmen sollten
-
Wenn Sie die App als Einzelperson (Schüler, Lehrer, Elternteil) nutzen und zum Zugriff auf den Vertretungsplan Ihrer Schule ein personalisiertes Passwort verwenden, also eines, das nur für Sie gilt, sollten Sie das Passwort schnellstmöglich ändern. Weiterhin sollten Sie prüfen, ob Sie das selbe Passwort an anderer Stelle, wie zum Beispiel für Ihren E-Mail-Account verwendet haben und es dort ebenfalls ändern.
-
Wenn Sie die App als Schule nutzen und alle Nutzer oder größere Nutzergruppen mit einheitlichen Passwörtern auf den Vertretungsplan zugreifen, sollten Sie dieses Passwort zeitnah durch ein neues ersetzen.
Was wir unternommen haben
Nach Kenntnis von der Lücke haben wir diese schnellstmöglich behoben und alle weiteren notwendigen Schritte unternommen. Hier finden Sie den genauen Hergang der Ereignisse:
- 07.03. 16:15 Ein Nutzer weist uns darauf hin, eine Sicherheitslücke gefunden zu haben und bittet um Infos zu weiteren Schritten.
- 07.03. 16:26 Wir bitten den Nutzer um Mitteilung der technischen Details zur Sicherheitslücke.
- 07.03. 18:51 Der Nutzer informiert uns über die technischen Details der Sicherheitslücke.
- 07.03. 20:40 Unser Team hat die Details erhalten und kann das Problem nachvollziehen.
- 07.03. 20:41 Um weitere Schäden auszuschließen, schaltet unser Team den Server der Vertretungsplan.app kurzfristig komplett ab.
- 07.03. 21:05 Die technische Ursache des Problems ist gefunden.
- 07.03. 21:17 Das direkte technische Problem, das zur Sicherheitslücke führte, ist gelöst.
- 07.03. 21:27 Die Sicherheitslücke ist verifiziert geschlossen und der Server wird wieder angeschaltet.
- 07.03. 22:30 Wir haben unsere Software um automatisierte Checks erweitert, die sicherstellen, dass ein ähnliches Problem in Zukunft sofort auffallen würde.
- 08.03. 10:23 Wir haben die Diagnoseschnittstelle unserer Software so verändert, dass selbst bei einer erneuten Sicherheitslücke keine Passwörter kompromittiert würden.
- 09.03. Information der zuständigen Datenschutzaufsichtsbehörde.
- 09.03. Information der Nutzer über die App und Website.
- 09.03. Information der Kunden der Schullizenz per E-Mail.