Más de 400.000 datos de estudiantes alemanes filtrados por una API defectuosa

Un investigador de seguridad pudo explotar una falla de API en Scoolio y acceder a los datos personales de casi 400,000 estudiantes registrados en ella.

Scoolio es una aplicación alemana para estudiantes, que se utiliza principalmente para actualizaciones educativas, mantenimiento de registros y redes. Después de informar la falla al desarrollador de Scoolio, esta semana se lanzó una solución para corregir el error.

Índice de contenidos

    Datos de estudiantes filtrados de Scoolio

    Scoolio es una aplicación de comunidad estudiantil para estudiantes alemanes, utilizada para tutoría, desarrollo de habilidades de gestión, planificación de tareas, redes con compañeros e incluso para encontrar oportunidades de trabajo y pasantías.

    La plataforma está respaldada por más de tres grupos de inversión de propiedad estatal, a saber, Technologiegründerfonds Sachsen, SIB Innovations - und Beteiligungsgesellschaft mbH y Kreissparkasse Bautzen. Por lo tanto, es de confianza para todos los estudiantes e instituciones educativas del país, y se utiliza en la vida diaria.

    En septiembre, un investigador de seguridad llamado Lilith Wittmann de la firma Zerforchung ha descubierto una API defectuosa en Scoolio, a través del cual pudo acceder a los datos personales de casi 400.000 usuarios. Los datos expuestos incluyen

    • Apodo de usuario
    • Direcciones de correo electrónico de usuarios y padres
    • Ubicación GPS en la que se abrió la aplicación por última vez
    • Nombre de la escuela y clase
    • Intereses
    • Detalles de UUID
    • Rasgos de personalidad (origen, religión, sexualidad)

    Aunque Scoolio se jacta de tener 1.8 millones de estudiantes registrados, Wittmann solo pudo encontrar 400,000 registros, ya que el resto fueron engañados por Scoolio con cuentas parciales. Afirmó que, incluso si un usuario potencial descarga y abre la aplicación, se le dará un UUID.

    Sin considerar cuentas tan vacías, el número real rondaría las 400.000. Wittmann reveló la falla a Scoolio el 21 de septiembre de este año, a lo que respondieron con un parche el 25 de octubre de 2021.

    Si bien ahora se corrigió la falla de la API, Wittmann deseaba una respuesta más rápida considerando la naturaleza de la fuga de datos y la simplicidad del proceso de parcheo. Sin embargo, Scoolio la agradeció por la divulgación y le aseguró que nadie había accedido a los registros expuestos antes que ella.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir