Lehrerbewertungs-App: Security-Firma ortet Sicherheitslücke
Laut der Analyse von SEC-Research ist das bei Lernsieg eingesetzte SMS-Authentifizierungsverfahren mit relativ wenig Aufwand zu umgehen, die Security-Firma vergleicht es mit einem Login nur mit Benutzername und ohne Passwort. Dadurch könnten mit der Telefonnummer von Schülern und einem SMS-Gateway-Service, das man leicht im Internet findet, die Bewertungen beliebiger Nutzer abgefragt werden.
Es wäre kein Problem für Lehrer nachzuforschen, wie Schüler sie bewertet haben, wenn die Telefonnummer des Nutzers bekannt sei. Außerdem könnten der Analyse zufolge Accounts zu beliebigen Nummern erstellt und die Lehrer- und Schulbewertung damit im großen Stil manipuliert werden.
Die Betreiber der App betonen gegenüber der APA, dass bei Lernsieg keine Namen zur Telefonnummer abgespeichert werden. „Wer kriminelle Energie aufbringt und über eine Hacker-Software verfügt, weiters eine fremde Telefonnummer als die eigene ausgibt, konnte bisher theoretisch mit besonderem technischem Aufwand herausfinden, mit welcher Telefonnummer welcher Lehrer bewertet wurde, aber nicht, wem sie gehört oder wie damit bewertet wurde.“
Man schließe aus, dass dies überhaupt passiert ist. „Dennoch ändern wir die Software so, dass auch das nicht mehr möglich ist“, heißt es in der Stellungnahme. An SEC-Research üben die Lernsieg-Betreiber Kritik: Es entspreche nicht dem Industrie-üblichen Standard, Lücken direkt an Medien und nicht zuerst dem Betreiber zu melden.
APA