{"id":1476,"date":"2025-01-10T14:02:03","date_gmt":"2025-01-10T14:02:03","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1476"},"modified":"2025-01-10T14:02:03","modified_gmt":"2025-01-10T14:02:03","slug":"software-lucke-bei-kigaroo-millionen-kita-daten-offen-im-netz","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1476","title":{"rendered":"Software-L\u00fccke bei KigaRoo: Millionen Kita-Daten offen im Netz"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?quality=50&strip=all 6048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Die Daten der Kita-Software KigaRoo waren zeitweise offen im Netz verf\u00fcgbar \u2013 auch die Daten von Kindern.\n

Lordn \u2013 Shutterstock.com<\/p>\n<\/div>\n

Der Sicherheitsforscher Florian Hantke hat k\u00fcrzlich eine Sicherheitsl\u00fccke beim Kita-Software-Anbieter KigaRoo aufgedeckt. Wie der Nachrichtendienst Netzpolitik.org<\/a> berichtet, waren deshalb zeitweise zwei Millionen Datens\u00e4tze von erwachsenen Personen und von Kindern offen im Netz zug\u00e4nglich.<\/p>\n

Die Software von KigaRoo dient unter anderem dazu, die Mitarbeiterverwaltung abzuwickeln und Wartelisten f\u00fcr Kitapl\u00e4tze zu verwalten. Zus\u00e4tzlich k\u00f6nnen Eltern in einem eigenen Bereich mit individuellen Zugangsdaten Details zu Kindern einsehen und etwa Abwesenheiten einstellen.<\/p>\n

Der Anbieter legt nach eigenen Angaben gro\u00dfen Wert auf die Sicherheit der Daten. \u201eNiemand au\u00dfer Ihnen, Ihren Mitarbeitern und freigeschalteten Bezugspersonen kann die jeweils von Ihnen individuell freigegebenen Daten Ihrer Einrichtung einsehen\u201c, hei\u00dft es dazu bei Kigaroo.<\/p>\n

Fehlerhafter Autorisierungscheck<\/strong><\/h2>\n

Allerdings zeigt der Bericht von Hantke ein anderes Bild. Der Security-Experte stellte fest, dass sich mit einem kostenlosen Testaccount \u00fcber den Aufruf bestimmter URLs potenziell massenhaft Daten abziehen lassen. \u201eDie Schwachstellen betrafen insbesondere fehlende oder fehlerhafte Autorisierungspr\u00fcfungen\u201c, erkl\u00e4rt Hantke. Das hei\u00dft, wer das Format der URLs kannte oder erraten hatte, musste einfach nur die Nutzer-ID \u00e4ndern, um Zugriff auf den jeweiligen Datensatz zu erhalten.<\/p>\n

Dem Forscher zufolge konnten solche Abfragen mit beliebigen IDs durchgef\u00fchrt werden, die aus einer siebenstelligen Zahl bestanden. \u201eDa alle genannten IDs numerisch waren und dadurch einfach hochgez\u00e4hlt werden konnten, lie\u00dfen sich so vermutlich Daten aller Nutzer und Nutzerinnen abgreifen\u201c, f\u00fchrt Hantke aus.<\/p>\n

Der Sicherheitsexperte geht davon aus, dass es sich um ca. 1.290.000 Datens\u00e4tze erwachsener Personen und 846.00 Datens\u00e4tze von Kindern gehandelt hat, \u201edie den Bezug zu der Einrichtungsst\u00e4tte plus Kontaktdaten, Adressen, Bankdaten, Fl\u00fcchtlingsstatus und \u00e4hnliches beinhaltet haben\u201c. Es sei allerdings denkbar, dass sich darunter auch Test-Accounts befunden h\u00e4tten.<\/p>\n

Der Sicherheitsforscher hat KigaRoo umgehend \u00fcber die Schwachstelle informiert. Der Software-Anbieter hat die L\u00fccke daraufhin geschlossen. Zus\u00e4tzlich habe KigaRoo die IDs (Identifier) gegen UUIDs (Universally Unique Identifier) ausgetauscht, was das Erraten erschwere, hei\u00dft es weiter.<\/p>\n

Dar\u00fcber hinaus hat KigaRoo den Fall auch bei der zust\u00e4ndigen Datenschutzbeh\u00f6rde gemeldet. Es habe sich um eine klassische IDOR-L\u00fccke (Insecure Direct Object Reference) gehandelt, teilte die Beh\u00f6rde gegen\u00fcber Netzpolitik.org mit. Zudem best\u00e4tigte die Datenschutzbeh\u00f6rde, dass es au\u00dfer dem Zugriff durch den Sicherheitsforscher keine weiteren Zugriffe auf die Daten gab.<\/p>\n

Auch vonseiten des Software-Anbieters gibt es Entwarnung. Gegen\u00fcber Netzpolitik.org gibt KigaRoo an, \u201edefinitiv ausschlie\u00dfen\u201c zu k\u00f6nnen, dass es zu unberechtigten Zugriffen auf den Datenbestand gekommen sei. Zudem betont das Unternehmen, dass \u201ekeinerlei Daten offen\u201c standen \u2013 weil eben ein Test-Account notwendig war (KigaRoo nennt diese Accounts \u201eAdmin-Accounts\u201c). \u201eDie gemeldete Schwachstelle h\u00e4tte potenziell Zugriff auf Ausz\u00fcge einzelner in KigaRoo erfasster Personendatens\u00e4tze erm\u00f6glicht, dies allerdings nur \u00fcber den Umweg eines weiteren Admin-Accounts\u201c.<\/p>\n

Lesetipp: Hacker nehmen Schulen ins Visier<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?quality=50&strip=all 6048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/01\/shutterstock_2188578487.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Die Daten der Kita-Software KigaRoo waren zeitweise offen im Netz verf\u00fcgbar \u2013 auch die Daten von Kindern. Lordn \u2013 Shutterstock.com Der Sicherheitsforscher Florian Hantke hat k\u00fcrzlich eine Sicherheitsl\u00fccke […]<\/p>\n","protected":false},"author":0,"featured_media":1477,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1476","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1476"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1476"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1476\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1477"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1476"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1476"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1476"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}