Hochschule wirft Finder schwerwiegender Sicherheitslücke raus

Bei der Entwicklung einer App zum einfacheren Zugriff auf den College-Zugang von unterwegs stießen zwei kanadische Informatikstudenten auf eine schwerwiegende Sicherheitslücke im Zugangsportal, das die Daten aller Studenten ihrer Hochschule verwaltet. Über die Lücke ließen sich mit minimalem Aufwand die persönlichen Daten aller im System erfassten Studenten auslesen – insgesamt sollen über 250.000 Datensätze betroffen gewesen sein.

Die Studenten, Hamed Al-Khabaz und Ovidiu Mija, meldeten die Lücke dem Leiter des Rechenzentrums ihrer Hochschule, dem Dawson College in Montreal, Kanada. Dieser gratulierte ihnen zum Fund und leitete die Meldung an den Hersteller der Software weiter. Den Studenten wurde versichert, die Lücke werde umgehend geschlossen.

In der Verwaltungs- und Kommunikationssoftware Omnivox des kanadischen Herstellers Skytech laufen alle personenbezogenen Daten der Studenten zusammen. Den Findern der Sicherheitslücke zufolge hätten "grundlegende Computerkenntnisse" ausgereicht, um die persönlichen Daten jedes beliebigen im System erfassten Studenten auszuspähen – einschließlich Privatadresse, Telefonnummer, Stundenplan und Versichertennummer. Omnivox wird nicht nur am Dawson College eingesetzt, sondern auch an zahlreichen anderen renommierten Bildungseinrichtungen in Kanada.

Zwei Tage später packte Al-Khabaz die Neugierde, ob das Unternehmen Wort gehalten hatte. Als er mit dem Sicherheitstestwerkzeug Acunetix auf die Website des Herstellers zugriff, klingelte kurz darauf sein Telefon. Am anderen Ende war der Geschäftsführer von Skytech, Edouard Taza. Taza erklärte Al-Khabaz, die Firma werte sein Verhalten als Cyber-Angriff und drohte ihm mit der Polizei, falls er keine Vertraulichkeitsvereinbarung unterzeichne. Al-Khabaz unterschrieb.

Der kanadischen Zeitung National Post gegenüber dementierte Taza, dem Studenten gedroht zu haben. Er habe die die Polizei und rechtliche Konsequenzen lediglich "erwähnt". Die Überprüfung, ob die Lücke noch existiere, habe jedoch eine Grenze überschritten – beim Einsatz von Acunetix ohne vorige Absprache mit dem Systemadministrator von Skytech habe die Gefahr eines Server-Absturzes bestanden.

Gegenüber der National Post bezeichnete Taza das Auffinden der Lücke als clever. Berichten anderer Medien zufolge soll es ausgereicht haben, in der URL eine Ziffernfolge auszutauschen, um auf die Daten beliebiger Studenten zuzugreifen.

Das Dawson College reagierte auf die zweite Exkursion des Studenten mit drakonischen Maßnahmen. Zuerst verhörten die Verantwortlichen der Hochschule den Studenten, wem er von der Lücke erzählt habe. In einer Abstimmung beschlossen die Lehrkörper des Informatikstudiengangs kurz darauf, Hamed Al-Khabaz der Hochschule zu verweisen – nur einer der 15 Dozenten widersprach. Al-Khabaz legte gegen die Entscheidung Beschwerde ein, die jedoch in zwei Instanzen abgewiesen wurde.

Innerhalb weniger Wochen wurde der ehemalige Vorzeigestudent somit zum Pariah. In seinen Studienunterlagen steht jetzt, er sei aufgrund unprofessionellen Verhaltens aus dem Dawson College ausgeschlossen worden. Mit dieser Vorgeschichte findet Hamed Al-Khabaz in Kanada keine andere Bildungseinrichtung, die ihn aufnehmen würde. Die Studentenvereinigung des Dawson College hat sich hinter den Informatiker gestellt und sammelt auf einer Webseite Unterstützung für eine Aufhebung seines Ausschlusses. Morgan Crockett von der Studentenvereinigung ist der Meinung, das College habe den Studenten verraten, um das Image der Firma Skytech zu schützen.

Diverse kanadische Medien haben das Thema aufgegriffen. Die Berichterstattung scheint erste Früchte zu zeigen: Gegenüber CBC News sagte Skytech-Chef Taza, man wolle Al-Khabaz ein Stipendium anbieten, damit er seinen Abschluss an einer privaten Hochschule beenden könne. Zusätzlich habe er dem Studenten eine Teilzeitstelle im Bereich der Datensicherheit angeboten. Das Dawson College beharrt hingegen auf seiner Position: Al-Khabaz habe gegen den Verhaltenskodex der Hochschule verstoßen; der Ausschluss sei somit gerechtfertigt. (ghi)