Lücke in Schulverwaltungs-Software Ecolm

20. Januar 2020, 15:56
  • security
  • standard-software
image

IT-Lehrling deckt Sicherheitslücke im Notenverwaltungsprogramm auf.

Die Software Ecolm der in Uster ansässige Software-Schmiede Prodaxo weist offenbar eine Schwachstelle auf. Wie '20minuten' berichtet, hat sich ein IT-Lehring "aus Langeweile" in das laut Hersteller von Lehrern für Lehrer entwickelte Online-Tool gehackt. Über die entdeckte Sicherheitslücke sei es möglich gewesen, "in jeden beliebigen Account einzudringen – egal ob von einem Schüler oder einem Lehrer".
In dem Bericht erklärt der Lehrling, dass man sich durch eine simple Manipulation beim Zurücksetzen des Passworts für jeden beliebigen Account ein gültiges Ersatzpasswort zusenden lassen konnte. So sei es dann etwa über einen Lehrer-Account möglich gewesen, beispielsweise Prüfungsergebnisse, Absenzen und Zeugnisnoten einzusehen und zu manipulieren.
Der Lehrling gab an, selbst nichts manipuliert zu haben. Er habe aber einen Missbrauch verhindern wollen und sei deshalb an die Öffentlichkeit gegangen.
Er will bereits im Dezember eine Sicherheitslücke in dem Onlinetool entdeckt und an betroffene Schulen gemeldet haben. Auch diese Lücke habe ermöglicht, in fremde Accounts einzudringen.
Prodaxo-CEO Ovidio Raimondi soll erst durch die Anfrage von '20minuten' von der Sicherheitslücke erfahren haben. Später habe er mitgeteilt, dass in den letzten Wochen "Unregelmässigkeiten" von ihren Systemen gemeldet worden seien: "Die Verursacher wurden geloggt und die Lücken geschlossen". Das habe auch der IT-Lehrling bestätigt.
Weiter heisst es, gemäss Raimondi habe es keinen Schaden gegeben. Zudem fasse Prodaxo ein "Bug Bounty Program" ins Auge, mit dem Entdecker von Softwarefehlern belohnt werden sollen.

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023