hadicanim
Aktif Üye
Kuzey Ren-Vestfalya Eğitim Bakanlığı, Abitur sınavlarının zorluklarını indirdikten sonra daha da fazla güvenlik açığı olduğunu kabul etti ve ardından Kalite Ajansı – Devlet Okullar ve Eğitim Enstitüsü (QUA-LiS) sunucusunda güvenlik açıkları keşfetti.
Bakanlık, güvenlik açıklarını araştırması için danışmanlık firması Ernst & Young’ın siber güvenlik departmanını görevlendirdi. Etkilenen sunucu, daha fazla bulgunun ardından kapatıldı.
Muhtemelen birkaç yıldır belirsiz
İlk sızıntıyı Federal Yetkililer için Bilgisayar Acil Müdahale Ekibine (CERT-Bund) bildiren ve Chaos Computer Club’da (CCC) aktif olan Carl Fabian Lüpke (“Flüpke”), Milli Eğitim Bakanlığı’nın son raporlarını kamuoyu önünde eleştirdi. Twitter’dan , “Ernst & Young artık parmağımı bile kıpırdatmadan çalışmamı zenginleştirebilir!“.
Milli Eğitim Bakanlığı, yeni bulunan güvenlik açıklarının muhtemelen yıllardır var olduğunu belirtiyor. Şu anda kapatılan Qua-LiS sunucusunun, çalışanlar tarafından paylaşılan bir çalışma platformu olarak kullanıldığı söyleniyor – diğer şeylerin yanı sıra, örneğin müfredat çalışması veya alanında belgeler üzerinde değişim ve ortak çalışma için. ileri eğitim. Bakanlığa göre, daha fazla zayıf nokta bulunacağı göz ardı edilemez. EY ekibi, QUA-LiS’in tüm BT yapısını inceler.
CCC bulguları doğrulandı
Eğitim Bakanlığı ayrıca CCC tarafından ortaya çıkarılan boşluk hakkında daha fazla bilgi sağladı. Buna göre EY ekibi, “önceki bilgilere göre, genellikle yalnızca ad ve soyadların birleşiminden oluşan bir kullanıcı adı içeren en az 16.557 veri kaydının okunduğu varsayılabilir. Daha önceki bilgilere göre, daha fazla kişisel veri içeren en az 3.765 veri kaydının okunduğu varsayılabilir.”
Kullanıcı adına ek olarak, bu girişler aşağıdaki bilgileri içermelidir: kişinin okul sistemindeki örgütsel rolü (örneğin “müdür yardımcısı”), ait olduğu kurum (örneğin okulun adı), posta adresi adresi, iş veya özel sabit hat ve cep telefonu numarası, iş veya özel e-posta adresi ve ilgili hesapların oluşturulma tarihi gibi diğer teknik veriler. Veri kayıtları “büyük olasılıkla QUA-LiS çalışanları ve diğer harici kişilerle” ilgilidir. Mevcut bilgi durumuna göre, ilgili şifrelerin okunmamış olması gerekirdi. Veri analizi devam edecek.
Sonuçlar şimdi sunuldu böylece Lilith Wittmann’ın davayla ilgili verdiği bilgileri de teyit etmiş olursunuz.. İfadesine göre, Active Directory’nin tamamı okunabilir ve bu verilerle “alanların artık bulunmadığı” e-posta adreslerinden hesaplar devralınabilirdi.
Okul ve Eğitim Bakanı Dorothee Feller (CDU), “Verilerin kötüye kullanılmasını önlemek için tüm soruşturmaları sürdürmeye devam edeceğiz” dedi.
(kbe)
Haberin Sonu
Bakanlık, güvenlik açıklarını araştırması için danışmanlık firması Ernst & Young’ın siber güvenlik departmanını görevlendirdi. Etkilenen sunucu, daha fazla bulgunun ardından kapatıldı.
Muhtemelen birkaç yıldır belirsiz
İlk sızıntıyı Federal Yetkililer için Bilgisayar Acil Müdahale Ekibine (CERT-Bund) bildiren ve Chaos Computer Club’da (CCC) aktif olan Carl Fabian Lüpke (“Flüpke”), Milli Eğitim Bakanlığı’nın son raporlarını kamuoyu önünde eleştirdi. Twitter’dan , “Ernst & Young artık parmağımı bile kıpırdatmadan çalışmamı zenginleştirebilir!“.
Milli Eğitim Bakanlığı, yeni bulunan güvenlik açıklarının muhtemelen yıllardır var olduğunu belirtiyor. Şu anda kapatılan Qua-LiS sunucusunun, çalışanlar tarafından paylaşılan bir çalışma platformu olarak kullanıldığı söyleniyor – diğer şeylerin yanı sıra, örneğin müfredat çalışması veya alanında belgeler üzerinde değişim ve ortak çalışma için. ileri eğitim. Bakanlığa göre, daha fazla zayıf nokta bulunacağı göz ardı edilemez. EY ekibi, QUA-LiS’in tüm BT yapısını inceler.
CCC bulguları doğrulandı
Eğitim Bakanlığı ayrıca CCC tarafından ortaya çıkarılan boşluk hakkında daha fazla bilgi sağladı. Buna göre EY ekibi, “önceki bilgilere göre, genellikle yalnızca ad ve soyadların birleşiminden oluşan bir kullanıcı adı içeren en az 16.557 veri kaydının okunduğu varsayılabilir. Daha önceki bilgilere göre, daha fazla kişisel veri içeren en az 3.765 veri kaydının okunduğu varsayılabilir.”
Kullanıcı adına ek olarak, bu girişler aşağıdaki bilgileri içermelidir: kişinin okul sistemindeki örgütsel rolü (örneğin “müdür yardımcısı”), ait olduğu kurum (örneğin okulun adı), posta adresi adresi, iş veya özel sabit hat ve cep telefonu numarası, iş veya özel e-posta adresi ve ilgili hesapların oluşturulma tarihi gibi diğer teknik veriler. Veri kayıtları “büyük olasılıkla QUA-LiS çalışanları ve diğer harici kişilerle” ilgilidir. Mevcut bilgi durumuna göre, ilgili şifrelerin okunmamış olması gerekirdi. Veri analizi devam edecek.
Sonuçlar şimdi sunuldu böylece Lilith Wittmann’ın davayla ilgili verdiği bilgileri de teyit etmiş olursunuz.. İfadesine göre, Active Directory’nin tamamı okunabilir ve bu verilerle “alanların artık bulunmadığı” e-posta adreslerinden hesaplar devralınabilirdi.
Okul ve Eğitim Bakanı Dorothee Feller (CDU), “Verilerin kötüye kullanılmasını önlemek için tüm soruşturmaları sürdürmeye devam edeceğiz” dedi.
(kbe)
Haberin Sonu