Datenleck mit 26000 Studenten Datensätzen bei der Uni Göttingen?

Die Uni Goettingen hat anscheinend gut 26000 Studentendatensaetze verloren. Mir wurde ein Anhang mit den pseudonymisierten Datensätzen zugeschickt, die anscheinend aus einem offenen LDAP-Server an der Uni Göttingen sind. Laut der unten geposteten Einleitung wurde die mindesten vor einem halben Jahr offenen Lücke wohl vor einem Monat der IT kommuniziert. Passiert ist wohl nichts.

#######################################################################
# #
# (nearly) complete record of all students of the #
# Georg-August-Universitaet Goettingen #
# #
#######################################################################
# 26/09/2008, 27/09/2008 #
#######################################################################
# #
# The following data has been extraced from a world-readable LDAP #
# server belonging to the University of Goettingen. The server is #
# controlled by StudIT. #
# #
# The leak has been open for at least half a year and as far as we #
# have been told StudIT has been informed about it a month ago. As it #
# has not been closed we will now publish sample data with masked #
# surnames and account uids from accounts with a account number #
# greater than 1000000. #
# #
# Though, you will be able to load a complete record from: #
# #
# himuro.stud.uni-goettingen.de:ldap #
# #
# The data on himuro itself contains only pre- and surname and the #
# eMail address, which is the same as the account name. #
# #
# By the way: There has also been a leak for all passwords in FlexNow #
# which should be closed by now. If you are a student at #
# the University of Goettingen: Please update your #
# password and get informed! #
# #
# Greetings #
# #
# Marten S. Greedy & Workgroup #
# #
#######################################################################
# Student data following: #
#######################################################################

Christin S. – c.s
Julia F. – jul
Allison P. – all

… Die Liste geht noch ewig weiter.

Weiss nicht genau, was da dran ist. Könnte aber real sein. Würde mich über weitere Infos von Studenten der Uni Göttingen freuen. Bis dahin: Updatet mal sicherheitshalber Eure Passwörter, wenn Ihr da eingeschrieben seid.

Ich hab mal die Universität Göttingen angeschrieben und um eine Stellungnahme gebeten:

Sehr geehrte Damen und Herren,

mir wurde eine Datei mit 26000 pseudonymisierten Datensätzen zugeschickt, die anscheinend aus Ihrem IT-System stammen soll. Laut der Datei steht Ihr LDAP-Server offen und evtl sind die Passwörter und Zugangsdaten Ihrer Studenten wohl über das Internet abrufbar. Mich würde interessieren, ob da was dran ist. Wenn die Datei und das Sicherheitsloch real sind, würde ich mich über die Beantwortung der folgenden Fragen freuen.

1. Seit wann ist Ihnen die Sicherheitslücke bekannt?

2. Sind die Studenten über das Sicherheitsproblem aufgeklärt worden?

3. Was wird unternommen, um das Sicherheitsloch zu schliessen?

4. Wie wollen Sie zukünftig verhindern, dass Datensätze Ihrer Studenten offen im Internet abrufbar sind?

Update: Seit Freitag Morgen kann nur noch jeder, der in Goettingen im Goenet angebunden ist (Also alles was Uni ist und ne menge Studenten und DSL-Anschluesse), nachwievor den LDAP anfragen. Das restliche Netz ist schon mal ausgesperrt (Danke für die Info). Antwort auf meine Anfrage an Datenschutzbeauftragten und Pressestelle habe ich noch nicht.

Update: Um 13:26 hab ich eine Antwort erhalten:

Stellungnahme der Datenverarbeitung der Universität Göttingen

Zu dem u.a. auf netzpolitik.org veröffentlichen Beitrag zu einem Sicherheitsloch im LDAP-Server für die Studierenden

In einer Anfrage an die Pressestelle, die den oben genannten Artikel als Quelle nutzt, wurden folgende Fragen gestellt, zu denen wir hiermit Stellung nehmen:

1. Seit wann ist Ihnen die Sicherheitslücke bekannt?

Die Tatsache , dass unser LDAP-Server nichtauthorisierte Anfragen außerhalb des Netzes der Universität zulässt, wurde erst durch den Artikel deutlich. Dabei war es möglich, Datensätze unserer Studierenden abzufragen, die folgende Informationen beinhalten:

Name, Vorname, E-Mail-Adresse.
Zu keiner Zeit abfragbar waren Passwörter (die grundsätzlich verschlüsselt sind).
Unverschlüsselte Passwörter sind im LDAP-Server nicht gespeichert.

2. Sind die Studenten über das Sicherheitsproblem aufgeklärt worden?

Bisher wurden die Studierenden nicht über den Sachverhalt informiert.

3. Was wird unternommen, um das Sicherheitsloch zu schliessen?

Am 1. Oktober um 19:40 Uhr wurde das Sicherheitsloch in seinem vollen Umfang bekannt. Am 2. Oktober um 1.30 Uhr wurde das Sicherheitsloch bereits wieder durch die Serveradministration geschlossen.

4. Wie wollen Sie zukünftig verhindern, dass Datensätze Ihrer Studenten offen im Internet abrufbar sind?

Die vorhandenen Schutzmechanismen werden wir erweitern. U. a. wird in den nächsten Tagen eine zweite Firewall in ein abgestuftes Sicherheitskonzept integriert werden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

17 Ergänzungen

  1. Hallo!

    Also
    1. Ups.. das hätte nicht passieren sollen war aber in meiner alten Schule auch der Fall.
    2. Wo bekommt man die anonymisierte Liste? Könnte man einen netten Vornamen-Benchmark mit machen oder so ;-)

    Gruß Beni

  2. Okay, war natürlich schwachsinn. Die passwörter wurden nicht im Zuge der Lücke veröffentlicht, sondern waren für gewisse Personen, die mit FlexNow arbeiten zugänglich. Von daher empfiehlt sich Passwort ändern schon. :)

  3. Von der Uni selbst wirst Du höchstwahrscheinlich keine kompetente Antwort bekommen, da der gesamte Datenverkehr und sämtliche Netzwerke von der GWDG (Gesellschaft für wissenschaftliche Datenverarbeitung http://www.gwdg.de)gehandelt wird. Diese Gesellschaft beherbergt u.a. die Server der Uni und der Max-Planck-Gesellschaft und ist eine gemeinnützige GmbH.
    Von dort wirst Du eher Antwort bekommen. Solltest Du direkt an die Uni gemailt haben kann es sogar sein, dass Deine Mail nie eine verantwortliche Stelle erreicht (sofern sich seit meiner Zeit dort nicht etwas gravierend geändert hat).

    1. @datenschutz@asta:
      Ja, das hat ein Kommilitone von mir gemacht. Und? Nichts ist passiert – der ldap war nachwievor noch offen. Von daher, kann man den Verein wohl haken.

  4. Soweit ich das mitgekriegt habe wisst ihr als studentische Datenschutzbeauftragte schon seit mehr als einer Woche davon (der Server ist aber immer noch offen…).

    Und ehrlich gesagt hab ich sonst auch noch nichts gesehen, wo ihr euch für Datenschutz engagiert habt, ich lasse mich aber gern vom Gegenteil überzeugen.

    Viele Grüße

  5. Also zumindestens uniintern ist in Paderborn ebenfalls der LDAP-Server mit Echtnamen sowie Accountnamen (sowie ein paar andere Informationen: Student/Prof/etc) zugänglich.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.