Datenleck mit 26000 Studenten Datensätzen bei der Uni Göttingen?

von markus um 23:04 am Mittwoch, 1. Oktober 2008

Die Uni Goettingen hat anscheinend gut 26000 Studentendatensaetze verloren. Mir wurde ein Anhang mit den pseudonymisierten Datensätzen zugeschickt, die anscheinend aus einem offenen LDAP-Server an der Uni Göttingen sind. Laut der unten geposteten Einleitung wurde die mindesten vor einem halben Jahr offenen Lücke wohl vor einem Monat der IT kommuniziert. Passiert ist wohl nichts.

#######################################################################
# #
# (nearly) complete record of all students of the #
# Georg-August-Universitaet Goettingen #
# #
#######################################################################
# 26/09/2008, 27/09/2008 #
#######################################################################
# #
# The following data has been extraced from a world-readable LDAP #
# server belonging to the University of Goettingen. The server is #
# controlled by StudIT. #
# #
# The leak has been open for at least half a year and as far as we #
# have been told StudIT has been informed about it a month ago. As it #
# has not been closed we will now publish sample data with masked #
# surnames and account uids from accounts with a account number #
# greater than 1000000. #
# #
# Though, you will be able to load a complete record from: #
# #
# himuro.stud.uni-goettingen.de:ldap #
# #
# The data on himuro itself contains only pre- and surname and the #
# eMail address, which is the same as the account name. #
# #
# By the way: There has also been a leak for all passwords in FlexNow #
# which should be closed by now. If you are a student at #
# the University of Goettingen: Please update your #
# password and get informed! #
# #
# Greetings #
# #
# Marten S. Greedy & Workgroup #
# #
#######################################################################
# Student data following: #
#######################################################################

Christin S. - c.s
Julia F. - jul
Allison P. - all

… Die Liste geht noch ewig weiter.

Weiss nicht genau, was da dran ist. Könnte aber real sein. Würde mich über weitere Infos von Studenten der Uni Göttingen freuen. Bis dahin: Updatet mal sicherheitshalber Eure Passwörter, wenn Ihr da eingeschrieben seid.

Ich hab mal die Universität Göttingen angeschrieben und um eine Stellungnahme gebeten:

Sehr geehrte Damen und Herren,

mir wurde eine Datei mit 26000 pseudonymisierten Datensätzen zugeschickt, die anscheinend aus Ihrem IT-System stammen soll. Laut der Datei steht Ihr LDAP-Server offen und evtl sind die Passwörter und Zugangsdaten Ihrer Studenten wohl über das Internet abrufbar. Mich würde interessieren, ob da was dran ist. Wenn die Datei und das Sicherheitsloch real sind, würde ich mich über die Beantwortung der folgenden Fragen freuen.

1. Seit wann ist Ihnen die Sicherheitslücke bekannt?

2. Sind die Studenten über das Sicherheitsproblem aufgeklärt worden?

3. Was wird unternommen, um das Sicherheitsloch zu schliessen?

4. Wie wollen Sie zukünftig verhindern, dass Datensätze Ihrer Studenten offen im Internet abrufbar sind?

Update: Seit Freitag Morgen kann nur noch jeder, der in Goettingen im Goenet angebunden ist (Also alles was Uni ist und ne menge Studenten und DSL-Anschluesse), nachwievor den LDAP anfragen. Das restliche Netz ist schon mal ausgesperrt (Danke für die Info). Antwort auf meine Anfrage an Datenschutzbeauftragten und Pressestelle habe ich noch nicht.

Update: Um 13:26 hab ich eine Antwort erhalten:

Stellungnahme der Datenverarbeitung der Universität Göttingen

Zu dem u.a. auf netzpolitik.org veröffentlichen Beitrag zu einem Sicherheitsloch im LDAP-Server für die Studierenden

In einer Anfrage an die Pressestelle, die den oben genannten Artikel als Quelle nutzt, wurden folgende Fragen gestellt, zu denen wir hiermit Stellung nehmen:

1. Seit wann ist Ihnen die Sicherheitslücke bekannt?

Die Tatsache , dass unser LDAP-Server nichtauthorisierte Anfragen außerhalb des Netzes der Universität zulässt, wurde erst durch den Artikel deutlich. Dabei war es möglich, Datensätze unserer Studierenden abzufragen, die folgende Informationen beinhalten:

Name, Vorname, E-Mail-Adresse.
Zu keiner Zeit abfragbar waren Passwörter (die grundsätzlich verschlüsselt sind).
Unverschlüsselte Passwörter sind im LDAP-Server nicht gespeichert.

2. Sind die Studenten über das Sicherheitsproblem aufgeklärt worden?

Bisher wurden die Studierenden nicht über den Sachverhalt informiert.

3. Was wird unternommen, um das Sicherheitsloch zu schliessen?

Am 1. Oktober um 19:40 Uhr wurde das Sicherheitsloch in seinem vollen Umfang bekannt. Am 2. Oktober um 1.30 Uhr wurde das Sicherheitsloch bereits wieder durch die Serveradministration geschlossen.

4. Wie wollen Sie zukünftig verhindern, dass Datensätze Ihrer Studenten offen im Internet abrufbar sind?

Die vorhandenen Schutzmechanismen werden wir erweitern. U. a. wird in den nächsten Tagen eine zweite Firewall in ein abgestuftes Sicherheitskonzept integriert werden.

Kommentare