Wenn du in den letzten 10 Jahren eine österreichische Schule besucht hast, warst du ziemlich sicher schon in Kontakt mit den Produkten dieser Firma:

WebUntis

Das Unternehmen ist primär für ihre Online-Stundenplan-Software und diverse Sicherheits-Lücken¹ bekannt. Wenn man sich den Bug-Report genau anschaut, sieht man, dass deren Security-Management mit diesen Dingen eher leger umgeht: Fast ein halbes Jahr dauert es, bis eine einfache XSS-Attacke gefixt wird.

Doch trotz all dem ist WebUntis ein erfolgreiches Unternehmen, mit Sitz in der Gemeinde Stockerau und mehr als 100² Mitarbeiter*innen und Kunden aus aller Welt.

Dennoch gibt es ein paar Dinge, die mich an dieser monopolistischen Firma stören.

Schul-Administrator:innen sind auch nur Menschen #

Schulen zu administrieren muss der Horror sein. Kolleg:innen vergessen ihre Passwörter andauernd, Daten müssen erfasst, bearbeitet oder gelöscht werden und man muss den ganzen Tag mit schrecklichen MS-Office Programmen wie Excel(😔) oder Word(🤮) arbeiten.

Dafür wirklich mein herzliches Beileid ❤️

Aber dennoch darf man gewisse Fehler einfach nicht machen!

Ich gehe davon aus, dass manche einfach die Manuals nicht gelesen haben, oder WebUntis nicht ausreichend auf die gravierenden Konsequenzen mancher Setting-Einstellungen hingewiesen hat. WebUntis hat aber auf jeden Fall kein “Security by Design” aber dazu an späterer Stelle mehr.

Was ist jetzt das Problem? #

Eine fälschlicherweise angeklickte Checkbox gefährdet den Datenschutz hunderter Minderjähriger massiv.

Betroffen sind meines Wissensstandes nach 3 Schulen in und im Umkreis von Wien. Es sind die Stundenpläne der Schüler:innen einsehbar und es können dadurch

• Klasse 🤨
• Vor- und Nachname 🤨🤨
• Schulzeiten und Wahlfächer 🤨🤨
• Religionsbekenntnis (anhand des Religions-Unterrichts) 🤨🤨🤨

ausgelesen werden.

An dieser Stelle möchte ich erwähnen, dass ich hier keinen schicken Code-Block einrücke und zeigen werde, wie ich es gemacht habe.

Dafür habe ich verschiedene Gründe:

1. Der Fehler wurde bis heute (1.1.2022) nicht behoben.
2. Es geht um Daten von ca. 1800 Schüler:innen.
3. Das ist kein “Ins-Gefängnis-kommen Speedrun”!

Gut, da jetzt alle Daten-Kraken weg sind: Ich werde aber schon zeigen, dass das Sicherheitskonzept von WebUntis einfach 💩 ist.

Enjoy! 😁

Ich seh, ich seh, was du auch siehst 👁️ #

Bei meiner Schule war es so, dass wenn ein Nutzer sich in WebUntis eingeloggt hatte, dieser Nutzer auch die Stundenpläne aller anderen der selben Nutzergruppe sehen konnte. Ich dachte lange Zeit, dass ist nur auf die Inkompetenz unserer überarbeiteten Administration zurückzuführen - aber

anscheinend ist das bei fast jeder Schule so! ³

Das ist ist natürlich 💩-Design, weil es so Hacker:innen gelingen könnte, durch einen einzigen gehackten Account, an die Daten von allen anderen Nutzer:innen zu kommen.

Und da an vielen Schulen der Login meist wie folgt ausschaut, ist das gar kein so abwegiges Angriffsszenario:

    # Schüler: Maximilian Mustermann (10.10.2001)
    Username: "must.max"
    Password: "20011010"

Natürlich gibt es viele Variationen für diese Credentials, jedoch wird in manchen Elternbriefen zum Schulanfang ganz klar gezeigt, wie es geht:

LOL. 😐

Und ich bin mir sicher: es wird Schüler:innen geben, die ihr Standard-Passwort nicht ändern. Mit ein wenig OSINT-Recherche⁴ lässt sich da sicher ein gutes Opfer finden…

Jetzt ist es aber so:

Man sieht nur Nutzernamen, keine Klarnamen! 😮

Doch leider hat WebUntis hier richtig was versemmelt #

Man kann nämlich bei jedem Stundenplan eine print-Funktion aufrufen. An und für sich keine schlechte Sache:

Wenn man draufdrückt, öffnet sich ein neues Browser-Fenster (nicht Tab - Fenster) und der Stundenplan wird anscheinend “druckbarer” gerendert. Ein PDF entsteht dabei tatsächlich nicht, das ist reines HTML.

Und siehe da, was ist denn das? …Doch etwa kein… Klarname?!

Keine Pointe, WebUntis ist 1 Witz!