Die Fakultät für Maschinenbau nutzt das Terminbuchungssystem timacle. Die von der timeacle GmbH & Co. KG bereitgestellte Terminbuchungsplattform wies in der Vergangenheit eine Sicherheitslücke für die Nutzer*innen auf. Dies teilte die Firma jetzt der Fakultät für Maschinenbau gegenüber mit.
Gleichzeitig wurde mitgeteilt, dass diese Sicherheitslücke umgehend nach Bekanntwerden geschlossen wurde, so dass die Plattform jetzt wieder ohne Einschränkungen für Terminbuchungen genutzt werden kann.
Zum Hintergrund:
(Mitteilung der Fa. timacle GmbH & Co. KG)
Die Sicherheitslücke stellte sich wie folgt dar: Im Anschluss einer Terminbuchung erhielt der Kunde eine E-Mail mit einer Buchungsbestätigung und einem Link zu einer sogenannten Statusseite. Dort konnte er auf verschiedenen internetfähigen Geräten seine Wartezeit verfolgen und eventuelle Verzögerungen einsehen. Auf dieser Statusseite hatte der Kunde die Möglichkeit auf „Ticket anzeigen“ zu klicken. Es öffnete sich dann das Ticket in einem Pop-up in der Desktopansicht zum Ausdrucken. Das Ticket enthielt die Nummer des Tickets und einen QR-Code. Der QR-Code verlinkte wieder auf die Status-Seite. Im Hintergrund dieser Ticketansicht wurden über JSON vom Server an den Client das Feld „Comment“ übertragen, das im Front-End nicht sichtbar war. Dies war ein bislang nicht bekannter Software-Bug. Aufgrund dessen bestand die Möglichkeit für potenzielle Angreifer, Ticket-IDs zu generieren und auf die Informationen zu Tickets anderer Nutzer der Plattform zuzugreifen.
Nach Kenntnisnahme der Mängel wurden diese umgehend behoben. Außerdem wurde der von timeacle für die Administration der Server eingesetzte Dienstleister beauftragt, die Logfiles auszuwerten. Der externe Datenschutzbeauftragte wurde sofort beratend hinzugezogen. Timeacle hat die Datenschutzverletzung zudem am 18.06.2021 an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gemeldet.