RWTH Institut: Datenschutz muss draußen bleiben

Premiere auf lipflip.org: Ein Gastposting von Marco, der auf einer Webseite eines RWTH Instituts eine kreative Zugangskontrolle entdeckt hat, die nicht nur unbrauchbar ist, sondern gleichzeitig den Datenschutz mit Füßen tritt. Viel Spass.

Bei dem Versuch mir ein paar alte Klausuren auf der Webseite eines RWTH Institutes anzusehen, öffnete sich unerwartet eine JavaScript-Eingabeaufforderung mit der Bitte, Nachname und Matrikelnummer zur Authentifizierung anzugeben.

Passwortabfrage via JavaScript? Verdächtig...

Da ich jedoch keinen Login für die Seite besaß, musste ich mir was einfallen lassen um dennoch die Downloads ansehen zu können. Ich beschloss daher mir das JavaScript zur Kennwortabfrage mal anzusehen, dessen Speicherort mit der HTML-Quelltext der Seite verriet.

Hinter dem Link verbirgt sich ein JavaScript

ROT 13+1

In dem Skript standen neben etwas JavaScript-Code ziemlich viele Kennwörter in verschlüsselter Form. Dankenswerter Weise hatte der Autor des Skriptes den Algorithmus mitgeliefert, mit dem das eingegebene Passwort verschlüsselt und anschließend überprüft wird:


  i=0;
  while (i

Diese Schleife liest zeichenweise das Klartextkennwort, bestimmt die Unicode-Zeichennummer des aktuellen Zeichens und addiert die Position des Zeichens innerhalb des Kennwortes zzgl. Eins auf die Zeichennummer. Diese Nummer wird dann wieder in ein Zeichen zurückgewandelt und so nach und nach jedes Zeichen des “verschlüsselten” Kennworts errechnet.

Endlose ODER-Verknüpfung der Passwörter

Die Liste der zulässigen Kennwörter steht praktischerweise auch gleich im Script. Alle Kennwörter werden über eine schier endlose ODER-Verknüpfung miteinander verkettet und schlussendlich mit der verschlüsselten Eingabe des Benutzers verglichen.

Soweit, so schlecht. Das JavaScript als Zugangskontrolle lässt sich leicht umgehen und bietet keinen Schutz gegen das unerlaubte Öffnen der Webseite: Gibt man die durch das Script verborgene Adresse im Browser ein, öffnet sich die Download-Seite direkt und ohne Passwortabfrage.

ROT 13-1

Dramatisch wird dieser Zugangsschutz allerdings bei näherer Betrachtung: Die Funktion zur Berechnung der chiffrierten Kennwörter war keineswegs eine Einwegfunktion. Lediglich 2 Zeichen in der Funktion müssen verändert werden, um aus den chiffrierten Zugangsdaten den Klartext zu erhalten: Ein Austauschen von “+i+1” durch “-i-1” in dem Algorithmus reicht aus, um aus der kryptischen Eingabe “BCDXJY[” das Klartextkennwort “AATEST” zu erzeugen.

Viele Daten, wenig Schutz

Erinnern wir uns kurz an den Login-Dialog: Hier wurden wir aufgefordert Nachname und Matrikelnummer einzugeben. Das heißt also, dass in dem Script verschlüsselt Name und Matrikelnummer von einigen hundert Studierenden enthalten sind und dass sich diese Verschlüsselung problemlos wieder aufheben lässt.

Nach ein paar kurzen Änderungen im Skript und etwas Suchen+Ersetzen tauchten auf meinem Bildschirm geschätzte 800 Nachnamen mit den dazugehörigen Matrikelnummern auf (einige Testkennwörter und Doppel-Einträge).

Damit ist das Skript nicht nur unsicher und wirkungslos im Sinne des Zugangsschutzes sondern stellt auch einen erheblichen Verstoß gegen den Datenschutz dar: “Namen und Matrikelnummern dürfen niemals gemeinsam angegeben werden!” schreibt bspw. der Datenschutzbeauftragte der Uni Wuppertal.

Ein Puzzle mit nummerierten Teilen

Warum ist offensichtlich: Die üblichen (Online-) Notenaushänge mit Matrikelnummer und Note lassen sich andernsfalls problemlos mit dem Namen kombinieren. Auch an vielen anderen Stellen in der Hochschule kann man mit Kenntnis von fremden Namen und Matrikelnummer viel Blödsinn anstellen. Erschwerend kommt hinzu, dass jeder Kennworteintrag mit dem Eintragsungsdatum versehen wurde. Es lässt sich also auch ableiten wann der oder die Studierende an Veranstaltungen und Prüfungen des Instituts teilgenommen hat.

Datenschutz, ein Fremdwort?

Leider zeigt dieses Beispiel, dass Datenschutz oft eine geringe Rolle spielt. Umso erschreckender ist es, dass das entsprechende Skript auch nach Information der entsprechenden Stellen noch zwei Tage öffentlich zugänglich war. Erst dann wurde es so modifiziert, dass kein Rückschluss auf Name und Matrikelnummer mehr möglich ist.

Das erweckt den Eindruck, dass der Schutz von alten Klausuren, der allein durch Abtippen einer URL aus der Navigations-HTML-Seite umgangen werden kann, scheinbar über den Datenschutzbestimmungen und der Privatsphäre von 800 Studierenden steht.

Fazit

Datenschutzbestimmungen werden anscheinend nicht ernst genug genommen und vor allem viele derjenigen, die mit personenbezogenen Daten hantieren, scheinen sich ihrer Verantwortung nicht bewusst. Die Veröffentlichung dieser Panne soll dazu beitragen, die Sensibilität beim Umgang mit personenbezogenen Daten zu erhöhen und anzuregen, die eigenen Maßnahmen gewissenhaft zu prüfen!

Content:

Comments

[...] … weiter im Bolg. [...]

“rwth matrikelnummer rausfinden”
Interessant auch, was nach dem Artikel über die leichtsinnige Veröffentlichung von Namen und den dazugehörigen Matrikelnummern an einem RWTH Institut hier an google-Anfragen aufläuft.

rwth matrikelnummer rausfinden” und dergleichen lassen jedenfalls darauf schließen, dass es eine Nachfrage nach den Daten gibt.
Nur von wem? Besorgte Verwandte? Interessierte Arbeitgeber oder HR-Argenturen, die sich ein detaillierteres Bild über die Kandidaten verschaffen wollen? Neugierige Kommilitoninnen und Kommilitonen?

Add new comment