Datenleck mit 26000 Studenten Datensätzen bei der Uni Göttingen?
Die Uni Goettingen hat anscheinend gut 26000 Studentendatensaetze verloren. Mir wurde ein Anhang mit den pseudonymisierten Datensätzen zugeschickt, die anscheinend aus einem offenen LDAP-Server an der Uni Göttingen sind. Laut der unten geposteten Einleitung wurde die mindesten vor einem halben Jahr offenen Lücke wohl vor einem Monat der IT kommuniziert. Passiert ist wohl nichts.
#######################################################################
# #
# (nearly) complete record of all students of the #
# Georg-August-Universitaet Goettingen #
# #
#######################################################################
# 26/09/2008, 27/09/2008 #
#######################################################################
# #
# The following data has been extraced from a world-readable LDAP #
# server belonging to the University of Goettingen. The server is #
# controlled by StudIT. #
# #
# The leak has been open for at least half a year and as far as we #
# have been told StudIT has been informed about it a month ago. As it #
# has not been closed we will now publish sample data with masked #
# surnames and account uids from accounts with a account number #
# greater than 1000000. #
# #
# Though, you will be able to load a complete record from: #
# #
# himuro.stud.uni-goettingen.de:ldap #
# #
# The data on himuro itself contains only pre- and surname and the #
# eMail address, which is the same as the account name. #
# #
# By the way: There has also been a leak for all passwords in FlexNow #
# which should be closed by now. If you are a student at #
# the University of Goettingen: Please update your #
# password and get informed! #
# #
# Greetings #
# #
# Marten S. Greedy & Workgroup #
# #
#######################################################################
# Student data following: #
#######################################################################
Christin S. - c.s
Julia F. - jul
Allison P. - all
… Die Liste geht noch ewig weiter.
Weiss nicht genau, was da dran ist. Könnte aber real sein. Würde mich über weitere Infos von Studenten der Uni Göttingen freuen. Bis dahin: Updatet mal sicherheitshalber Eure Passwörter, wenn Ihr da eingeschrieben seid.
Ich hab mal die Universität Göttingen angeschrieben und um eine Stellungnahme gebeten:
Sehr geehrte Damen und Herren,
mir wurde eine Datei mit 26000 pseudonymisierten Datensätzen zugeschickt, die anscheinend aus Ihrem IT-System stammen soll. Laut der Datei steht Ihr LDAP-Server offen und die Passwörter und Zugangsdaten Ihrer Studenten sind wohl über das Internet abrufbar. Mich würde interessieren, ob da was dran ist. Wenn die Datei und das Sicherheitsloch real sind, würde ich mich über die Beantwortung der folgenden Fragen freuen.
1. Seit wann ist Ihnen die Sicherheitslücke bekannt?
2. Sind die Studenten über das Sicherheitsproblem aufgeklärt worden?
3. Was wird unternommen, um das Sicherheitsloch zu schliessen?
4. Wie wollen Sie zukünftig verhindern, dass Datensätze Ihrer Studenten offen im Internet abrufbar sind?
