Einfallstor Suchfunktion

Chaos Computerclub meldet Datenleck im CampusNet

Hamburg, März 2026 - Der Chaos Computer Club (CCC) hat ein Datenleck bei CampusNet, dem Campus-Management-System der Firma Datenlotsen, identifiziert. Adressdaten von 1,1 Millionen Studierenden waren aufgrund einer Sicherheitslücke im Hochschulinformationssystem zugänglich. Betroffen waren insgesamt 22 Universitäten und Hochschulen.

Über eine öffentlich erreichbare Suchfunktion waren Abfragen gegen ein Personenverzeichnis möglich. Das dazugehörige Formular erlaubte Wildcard-Abfragen und ermöglichte auch die Suche nach einzelnen Attributen wie Postleitzahl, Straße oder Hausnummer. Durch gezielte Kombination von Suchanfragen und Schnittmengenbildung konnten vollständige Adressdatensätze rekonstruiert werden.
Sicherheitsforscher hatten die Lücke entdeckt und dem CCC gemeldet, der regelmäßig ehrenamtlich bei der Meldung von kritischen Datenlecks unterstützt. Der CCC informierte die betroffenen Einrichtungen, die Herstellerin der Software, die Datenlotsen Informationssysteme GmbH, sowie das DFN-CERT und diverse Landesdatenschutzbehörden im Rahmen eines Coordinated-Disclosure-Verfahrens.
Die Reaktionen fielen überwiegend zügig aus: Mindestens zehn Einrichtungen schlossen die Sicherheitslücke noch am selben Tag, einige am darauffolgenden. Vier Institutionen haben es bisher nicht geschafft sich zurückzumelden. Immerhin haben alle uns bekannten betroffenen Einrichtungen die Lücke inzwischen geschlossen.

Weitere Informationen

SCHLAGWORTE

Datenleck Campusnet