Eine Gruppe von Hackern hat Sicherheitslücken in der Lernplattform Mebis gefunden. Durch diese soll es etwa möglich sein, Nutzer mit Links innerhalb der Plattform auf schädliche Seiten weiterzuleiten. Ein Sprecher des bayerischen Kultusministeriums räumte am Freitag gegenüber dpa Probleme ein. Die von den Hackern aufgezeigten Sicherheitslücken seien jedoch inzwischen behoben.

Responsible Disclosure

Mebis ist eine Online-Plattform für bayerische Schulen, Betreiber ist das Bayerische Kultusministerium. Die Hacker, darunter nach eigenen Angaben ein Schüler, der die Plattform selbst nutzt, entdeckten die Schwachstellen im Mai. Eigenen Angaben zufolge haben sie die entdeckten Schwachstellen am 20. und 21. Mai an die Betreiber der Plattform gemeldet und eine Frist von 90 Tagen gesetzt.

Nachdem die Frist abgelaufen war, ohne dass die Lücken geschlossen wurden, haben die Hacker ihre Analyse am Donnerstag veröffentlicht. Demnach handelt es sich bei der schwerwiegendsten Schwachstelle um eine XSS-Lücke, mit der beliebiger Javascript-Code direkt an die Seite durchgereicht und ausgeführt werden konnte. So lassen sich zum Beispiel Login-Fenster fälschen und Zugangsdaten abgreifen. Auch ließen sich über ungesicherte Skripte auf der Website Anwender zu beliebigen URLs weiterleiten.

Nicht alle Lücken geschlossen

Die XSS-Lücke ist offenbar inzwischen geschlossen worden, nachdem sich auch der Bayrische Landesbeauftragte für Datenschutz eingeschaltet hat. Noch sollen aber nicht alle Fehler behoben sein, teilten die Hacker weiter mit.

Die Lernplattform Mebis des Bayerischen Kultusministeriums steht allen Schulen im Freistaat zur Online-Lehre und für den Austausch von Lehrern und Schülern zur Verfügung. Die Plattform hat nach eigenen Angaben eine Million Nutzer an rund 5500 Schulen. Im Zuge der Corona-Pandemie kommt der Plattform eine große Bedeutung zuteil. Im März dieses Jahres hatte es bereits einen dDoS-Angriff auf die Plattform gegeben. Mebis war deshalb vorübergehend nicht erreichbar gewesen.

(vbr)