Im Rahmen einer Recherche für einen Artikel untersuchten eine Tech-Journalistin und ein sog. ethischer Hacker wie es um die Daten- und IT-Sicherheit an Deutschlands Hochschulen und Universitäten bestellt ist.
Dazu haben sie sich konkret die Webmailer der Hochschulen und Universitäten angeschaut und auf vorhandene Lücken überprüft.
Dabei sind sie auch an unserer Hochschule fündig geworden und haben uns freundlicherweise über die bestehende Lücke informiert. Gemeinsam mit den Administratoren im RZ Trier konnte die Lücke so innerhalb einer Stunde nach dem Hinweis geschlossen werden.
Nach einem Update der Webmail Software Roundcube wurden versehentlich Verzeichnisse auf dem System öffentlich zugänglich, in denen Log-Daten sowie temporär gespeicherte Daten gespeichert werden. Konkret waren Anhänge ausgehender E-Mails und Vorschaubilder eingehender E-Mail-Anhänge sowie E-Mail-Übermittlungsdaten (Benutzername, Absender, Empfänger, MessageID, Uhrzeit und IP-Adresse) einsehbar.
Inhalt und Betreffzeile von Mails waren nie öffentlich zugänglich. Eine Übernahme von Postfächern durch potenzielle Angreifer war auf Grund des vorgelagerten Authentifizierungsmechanismus (Single-Sign-On per Shibboleth)zu keiner Zeit möglich. Auch war zu keiner Zeit eine Komplettübernahme des betroffenen Servers möglich.
Die symbolischen Links, die auf die betroffenen Ordner zeigten, wurden gelöscht und sind jetzt nicht mehr öffentlich einsehbar. Die symbolischen Links wurden bei Einspielen eines Updates versehentlich erzeugt. Um das in der Zukunft zu verhindern, werden diese symbolischen Links beim Einspielen von Updates (Deployment) gelöscht, wenn sie existieren. Die Skripte dazu sind bereits aktiv. Zusätzlich werden die Zugriffsrechte der betroffenen Dateien und Verzeichnisse per Konfiguration eingeschränkt, sollten diese erneut manuell angelegt werden.
Die Lücke wurde innerhalb einer Stunde nach Eingang des Hinweises am 8.1.2023 um 12 Uhr geschlossen.
Da der Zeitpunkt des Auftretens des Problems ist nicht klar nachvollziehbar ist, müssen wir vom größtmöglichen Zeitraum ausgehen. Somit kann nicht ausgeschlossen werden, dass das Problem seit dem 25.9.2020 vorlag.
Auf konkrete Daten wurde zwischen dem 21.10.2022 und dem 08.1.2023 durch den Sicherheitsforscher zugegriffen. Die an der Recherche beteiligte Journalistin sagte zu, dass die während der Recherche heruntergeladenen personenbezogenen Daten sicher vernichtet wurden.
Es liegen keine Anzeichen dafür vor, dass die Lücke außerhalb dieses Zeitrahmens von Angreifern ausgenutzt wurde.
Der Vorfall wurde am 10.01.2023 innerhalb der vorgeschriebenen 72-Stunden-Frist nach Art. 33 DS-GVO, bzw. § 54 LDSG an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz gemeldet.
Die Hochschule Trier nimmt Hinweise, die zur Verbesserung der Informationssicherheit beitragen sehr ernst und bedankt sich an dieser Stelle für die wichtige Recherche und den Hinweis auf die Lücke bei
Eva Wolfangel (https://chaos.social/@evawolfangel/) und René Rehme.
Bei Sicherheitsvorfällen oder dem Verdacht auf Sicherheitsprobleme: sicherheitsvorfall(at)hochschule-trier.de oder die Telefondurchwahl 777 |
Allgemeine Fragen zur Informationssicherheit: informationssicherheit(at)hochschule-trier.de |
Unser Mastodon-Kanal mastodon.hochschule-trier.de/@TeamINSI |
Schulungen | bits.hochschule-trier.de |
Lehrvideos | video.hochschule-trier.de |
Awareness | Alle Kampagnen |
Sie verlassen die offizielle Website der Hochschule Trier