Scoolio出现API漏洞，泄露40万德国学生的敏感数据

声明：该文章来自（API安全）版权由原作者所有，K2OS渲染引擎提供网页加速服务。

在德国广泛使用的学生社区应用程序Scoolio，由于平台出现API漏洞导致大约40万名用户敏感信息遭到泄露。

IT安全组织“Zerforchung”的安全研究员Lilith Wittmann发现了这个漏洞，并立即向Scoolio团队汇报发现情况。

•  “学生”业务

Scoolio是一款德国学生社区应用程序，主要用于培养良好的时间管理，便于辅导，制定功课计划，以及与同龄人进行群组聊天。该应用程序还在企业和学生之间建立联系，可供分享就业或实习机会。

Scoolio通过收集这些工具和功能产生的数据，然后通过定向广告盈利。然而，Scoolio表示，不会在未经学生同意的情况下收集或分享学生的任何信息。 

为了招募学生会员，Scoolio与德国各地的学校合作，把公司平台作为文件交换或远程数字化作业收集的远程教学辅助工具。

其中平台能够快速发展还得益于三家国有投资集团的资金支持，分别是SIB Innovations - und Beteiligungsgesellschaft mbH, Technologiegründerfonds Sachsen, 和 Kreissparkasse Bautzen. 

在合作伙伴和政府的支持下，许多学生已经把应用程序作为课堂上的标准工具。

• 有漏洞的API泄露了大量数据

在Zerforchung’s的报告中，Wittmann详细说明她是如何利用Scoolio API漏洞来检索应用程序中任意用户ID的敏感数据。

泄露的个人数据包括:

l 用户昵称

l 用户和家长的电子邮件地址

l 应用最后一次访问的GPS位置

l 学校及班级名称

l 爱好

l UUID细节

l 性格特征 (出身、宗教、性别)

Wittman分享了以下漏洞所泄露的数据类型的模拟样本。

虽然Scoolio表示，有180万人使用其应用程序，但研究人员认为，根据用户ids的创建，实际人数接近40万。

“我们不能确切判断有多少学生受到影响。根据Zerforchung的报告:“因为scoolio通过会在没有询问的情况下创建账户，人为地增加了用户数量:你只要下载并打开应用程序，就会生成一个带有UUID的空配置文件——不管你是否真的想创建一个用户账户。”

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/