Bug Bounty Konzept Illustration mit Computer-Chip auf einem Circuit Board
Bug Bounty Konzept Illustration mit Computer-Chip auf einem Circuit Board
Bildquelle: borkus, Lizenz

FreeHour: Studenten finden Sicherheitslücke und werden verhaftet

Die Offenlegung einer Sicherheitslücke in FreeHour, einer beliebten Anwendung für Studierende, hat schwerwiegende Folgen für die Entdecker.

In Maltas beliebtester Studenten-App „FreeHour“ klaffte eine riesige und gefährliche Sicherheitslücke. Statt einer erhofften Belohnung bekamen die Schüler, die die Schwachstellen entdeckt hatten, Besuch von der Polizei. Sie wurden festgenommen, durchsucht und anschließend verhört. Die Behörden beschlagnahmten zudem sämtliche Computer der Informatikstudenten und haben sie bis heute nicht zurückgegeben.

FreeHour: Von Maltas beliebtester Studenten-App zum Studenten-Albtraum

FreeHour - Maltas beliebteste Studenten-App
FreeHour – Maltas beliebteste Studenten-App

Die Studenten Giorgio Grigolo, Michael Debono, Luke Bjorn Scerri und Luke Collins wollten nur auf eine Sicherheitslücke in einer auf Malta viel genutzten Studenten-App aufmerksam machen. Doch nun erwartet sie vier Jahre Gefängnis und eine Geldstrafe von bis zu 23.293 Euro. „Alles was wir wollten, war zu helfen“, gab Giorgio Grigolo gegenüber der Times of Malta an.

Die vier Informatikstudenten fanden demnach heraus, dass die bei Schülern sehr beliebte und häufig genutzte FreeHour-App alles andere als sicher war. E-Mail-Adressen, Standortdaten und die Google-Kalender der Studierenden waren potenziell angreifbar. Die Sicherheitslücke ermöglichte es ihnen sogar, beliebige Informationen von den FreeHour-Servern abzurufen.

Einfach ausgedrückt: Jeder Benutzer der App war ein Admin, ohne es zu wissen.

Luke Collins

Grund genug für die vier Studierenden, die Sicherheitslücke umgehend dem Eigentümer und CEO von FreeHour, Zach Ciappara, zu melden. Doch was dann passierte, hätten sie sich nicht träumen lassen. Denn statt eines „Dankeschöns“ oder gar einer kleinen Belohnung (Bug Bounty) begann für die vier befreundeten Informatikstudenten ein bürokratischer Albtraum.

Zach Ciappara: Wir freuen uns, mitteilen zu können, dass keine Benutzerdaten kompromittiert wurden

Zach Ciappara hatte nie auf die Mail der vier Studierenden geantwortet. Nachdem er im Oktober die E-Mail der vier Studenten erhalten hatte, wandte er sich direkt an das Büro des Informations- und Datenschutzbeauftragten (IDPC) und an die lokale Cyber Crime Unit, um Rat zu suchen.

Gegen die Studenten wird daher nun auf der Grundlage von Artikel 337 des auf Malta geltenden Strafgesetzbuches ermittelt, der den Zugriff auf eine Anwendung ohne „ordnungsgemäße Genehmigung einer berechtigten Person“ ausdrücklich verbietet.

Zach Ciappara gibt zu bedenken, dass er nach geltendem Recht gehandelt hat. Er ist laut Gesetz verpflichtet gewesen, den „Vorfall“ umgehend den zuständigen Behörden zu melden. Dass aber ohne die vier aufmerksamen Informatikstudenten die Sicherheitslücke wohl weiterhin bestehen würde, findet keine Anerkennung. Im Gegenteil.

Sicherheitslücken zu finden, kann strafbar sein – auch hier in Deutschland!

Nicht nur in Malta kann das Auffinden von Sicherheitslücken zum Problem werden. Auch hier in Deutschland muss man aufpassen! Denn der Hackerparagraph (§ 202c StGB) hat es in sich.

Wie es mit den vier Studenten aus Malta weitergehen wird, ist derzeit noch ungewiss. Denn sowohl die örtlichen Ermittlungsbehörden als auch der maltesische Informations- und Datenschutzbeauftragte, Ian Deguara lehnten es aufgrund der laufenden Ermittlungen ab, sich zu dem Fall zu äußern.

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.