Meine Daten gehören mir – das habe Ich zumindest bisher gedacht. Normalerweise geht man davon aus, dass man wenn man sich bei einer Einrichtung an einer Universität anmeldet, diese Daten auch vertraulich verwendet werden. Leider ist dies nicht immer der Fall.
Heute ist mir eine interessante Sicherheitslücke im System des TTZ der Otto-von-Guericke-Universität aufgefallen. Im Cache einer bekannten Suchmaschine finden sich die kompletten Daten der angemeldeten Studenten und Mitarbeiter für die Exkursionen – natürlich mit Telefonnummer, Email und Studiengang – und das ganze für jeden abrufbar.
Zum Glück ist das ja nicht das erste Mal, dass man mit meinen Daten sehr vertraulich umgeht. Diese Leute haben vermutlich den Vorfall von Ostern 2008 schon vergessen, wo die gesamte Studentendatenbank der OVGU im Internet gelandet war.
Anhang: TTZ-Datenpanne.pdf
*Nachtrag 14.08.09 23.30Uhr* Auch über einen Tag nach meiner Endeckung sind die betreffenden Seiten immernoch im Cache zu finden – mir wurde versichert, dass die notwendigen Schritte zur Löschung dieser Inhalte eingeleitet sind.
Hier noch ein paar Informationen bezüglich der aktuellen Datenpanne. Vor 3 Wochen gab es eine Sicherheitslücke auf der Internetseite des TTZ – mit der Folge, dass mehrere Anmeldungen zu Exkursionen aus unbekannten Gründen storniert worden. Genau zu diesem Zeitpunkt muss google die Seite des TT erfasst haben und somit sind die Seiten im Cache gelandet – ein klassischer Fall von dumm gelaufen.
Dessweitern findet sich neben den Anmeldungen für Exkursionen, auch die Anfragen über das Kontaktformular im Cache. (Siehe Bild, danke an Tobi141986)
An dieser Stelle möchte ich auf das Positions- und Forderungspapier des Studierendenrates vom 13.11.2008 hinweisen.
Tobi141986
*Nachtrag 18.08.09 20.00Uhr* Die Daten sind jetzt aus dem Cache verschunden.
About
6 Comments
hey,
man hatte nicht nur über den Cache Zugriff, sondern – wenigens auf folgende Seite – bis vor wenigen Tagen auch noch direkt:
http://tinyurl.com/kvks8u
hatte vor wenigen tagen mal zufällig nach meinen username gegoogelt und war auf die seite vom ttz gestoßen (und zwar nicht über den cache) – hatte mir aber zunächst nix weiter bei gedacht – als ich heute – nach deiner meldung – nochmal rauf wollte war dann zugriff verweigert.
Na dann bin ich froh das ich über einen Emailverteiler des Fachschaftsrates im Müllheizkraftwerk war und nicht über das TTZ. Sowas darf einfach nicht passieren!
Michel Antwort vom Juli 14th, 2009 10:48:
Ja wir von Fachschaftsrat FVST haben unsere Anmeldungen noch per Zettel und Stift notiert (sprichwörtlich,sprich nicht online) – ganz altmodisch- dafür sicher vor unbefugten Zugriffen.
Hast Du das TTZ bzw. den Datenschutzbeauftragten der Uni bereits informiert?
Michel Antwort vom Juli 14th, 2009 09:43:
Ich habe bereits die zuständigen Mitarbeiter am TTZ über dieses Problem informiert. Die kannten diese Lücke anscheinent schon, jedoch wusste der Mitarbeiter nicht, dass man auch Informationen aus dem Cache laden kann bzw. Wusste er nicht, an wen er sich wenden soll, wenn diese Infomationen gelöscht werden sollen.
Den neuen Datenschutzbeauftragten der Universität habe Ich heute noch nicht telefonisch erreichen können.
Das ist ja malwieder richtig übel … dabei bin ich auch noch auf der uni -.- eigentlich nen grund woanderst weiter zu studieren! Die lernen es einfach nicht