Was das jetzt alles mit der Sicherheit und dem Datenschutz der KSWE zu tun hat, fragen Sie sich jetzt vielleicht. Das ist schnell erklärt: In unserem Intranet hat jeder Schüler/Lehrer/Mitarbeiter ein Bild auf seinem Profil. Ist man nicht mehr an dieser Schule, wird das Profil gelöscht. So auch das Bild, könnte man annehmen, doch dem ist nicht so. Doch dazu gleich, zuerst wieder ein wenig zurück in der Zeit: Ich habe mal geschaut, welche Adresse das Bild von Herrn Wampfler hat. Aha: 20077.jpg und auch meins hat auch nur eine Zahl, auch das all meiner Klassenkameraden. Genauso ist es bei allen Lehrern und Mitarbeitern. Jetzt müsste Ihnen auch klar sein, was das mit diesem wget-Dingsda zu tun hat. Genau! Ich habe dem nämlich gesagt, es soll mal schauen, unter welchen Nummern es überall Bilder gibt. Das Ergebnis war gigantisch: über 3'600 Bilder. Und wie es der Zufall will, war da plötzlich das Bild meiner Cousine, und sie ist seit diesem Jahr nicht mehr an der Schule.
Jetzt können Sie noch denken, ja, ok, da ist die KSWE einfach ein wenig im Verzug mit Fotos löschen. Aber das fatalere Resultat meiner Recherche habe ich Ihnen bis jetzt noch enthalten: Jeder Mensch auf dieser Welt kann ohne Benutzernamen, Passwort oder sonstiger Authentifizierung auf 3'600 unverschlüsselte Bilder zugreifen. Solche von Personen, die unter Umständen seit Jahren nichts mehr mit dieser Schule am Hut haben. Einige Klassenkameraden konnten Geschwister erkennen, die die Schule 2014 oder noch früher abgeschlossen haben.
Nach Rücksprache mit Herrn Wampfler habe ich unsere Pro-Rektorin darauf hingewiesen. Sie versicherte rasch, dass sich jemand um den Fehler kümmern werde und bedankte sich fürs Melden. Ich hoffe dass das keine leeren Worte waren, denn wer weiss, wo das nächste Sicherheitsleck lauert. FORTSETZUNG FOLGT...
Kann ich das auch selber testen?
Na klar: Geben Sie in ihrem Browser einfach
http://kanti-wettingen.ch/bilder/portraits/[beliebige Zahl zwischen 0 und 100000 eingeben].jpg
ein.
Beachten Sie: Nur ein kleiner Anteil Anteil an Zahlen sind effektiv belegt. Wenn Sie nicht genug Zeit haben, alles durchzutesten, werfen Sie doch einen Blick auf meine schlaue Liste, die alle mir bekannten Bilder enthält. Falls sie nicht mehr verfügbar sind, wurde die Lücke behoben.
Wurde das Problem behoben? [live]
Solange unter diesem Text das Bild von Herrn Wampfler erscheint, ist die Sicherheitslücke noch immer offen und alle Bilder sind unverschlüsselt verfügbar.
ZVG |
Keine Kommentare:
Kommentar veröffentlichen