文章摘要:在德国广泛使用的学生社区应用程序 Scoolio 的大约 四十万名用户由于平台中的 API 缺陷而暴露了敏感数据信息。来自 IT 安全集体“Zerforchung”的安全研究员Lilith Wittmann发现了该漏洞,并立即向 Scoolio 团队披露了他们的发现。学生社区应用程序Scoolio 是一款德国学生社区应用程序,旨在培养更好的时间管理技能、辅导、家庭作业计划以及与同龄人交流的群聊。该
在德国广泛使用的学生社区应用程序 Scoolio 的大约 四十万名用户由于平台中的 API 缺陷而暴露了敏感数据信息。
来自 IT 安全集体“Zerforchung”的安全研究员Lilith Wittmann发现了该漏洞,并立即向 Scoolio 团队披露了他们的发现。
学生社区应用程序
Scoolio 是一款德国学生社区应用程序,旨在培养更好的时间管理技能、辅导、家庭作业计划以及与同龄人交流的群聊。该应用程序还允许公司与学生建立联系,分享职位空缺或实习机会。
Scoolio 通过收集通过这些工具和功能生成的数据,然后通过有针对性的广告将其货币化来赚钱。但是,Scoolio 表示,未经学生同意,他们不会收集或分享学生的任何信息。
为了建立学生会员资格,Scoolio 与德国各地的学校合作,将他们的平台用作远程教学辅助工具,用于文件交换或远程数字作业收集。
它的发展得到了三个国有投资集团的资金支持,即 SIB Innovations - und Beteiligungsgesellschaft mbH、Technologiegründerfonds Sachsen 和 Kreissparkasse Bautzen。
由于合作伙伴关系和政府支持,许多学生在课堂上使用该应用程序作为标准工具。
API漏洞致40万学生数据泄露
在 Zerforchung 的报告中,Wittmann 解释了她如何利用 Scoolio API 缺陷来检索应用程序上使用的任何用户 ID 的极其敏感的数据。
暴露的个人数据包括:
- 用户昵称
- 用户和电子邮件地址
- 上次打开应用程序的 GPS 位置
- 学校和班级名称
- 兴趣
- UUID 详细信息
- 人格特征(出身、宗教、性取向)
Wittman 分享了一个由以下缺陷暴露的数据类型的虚构样本。
虽然 Scoolio 表示有 180 万人使用他们的应用程序,但研究人员认为,根据用户 ID 的创建方式,实际数字接近 400,000。
“我们无法确切说出有多少学生受到影响。因为 scoolio 通过创建帐户而人为地夸大其用户数量,而无需询问:只要您下载应用程序并打开它一次,就会生成一个带有 UUID 的空配置文件 - 无论您是否真的想要创建一个用户帐户,” Zerforchung 报告解释道。
修复版本在三十天后发布
Zerforchung 表示,他们于 2021 年 9 月 21 日向 Scoolio 披露了该漏洞,但软件开发人员直到 2021 年 10 月 25 日才部署补丁。
然而,由于修复的简单性和暴露数据的敏感性,Wittmann 认为修复应该更快地发布。
“我要感谢 Wittmann 女士提供的信息和 SDS 的交流,并感谢您对我们的安全措施的反馈,”Scoolio 应用程序的首席执行官兼创始人 Danny Roller 在一份声明中分享道。
“幸运的是,经过广泛的测试,我们可以确认在 Wittmann 女士调查之前没有第三方拦截任何用户数据,我们已经成功弥补了发现的漏洞。”
