Indische, Schuldatenbank

Indische Schuldatenbank: 30 Millionen Datensätze waren ungeschützt

06.06.2026 - 14:55:28 | boerse-global.de

Nach massiven Sicherheitslücken bei der CBSE halfen IIT-Experten, die Systeme zu sichern. Ein ethischer Hacker deckte die Schwachstellen auf.

Indische Schülerdaten offen: Elite-Unis helfen bei Sicherheitsreparatur
Indische - A shadowy hacker types on a laptop, with code and data on screen, against a blurred background of glowing server racks. 06.06.2026 - Bild: über boerse-global.de

Millionen Schülerdaten waren ungeschützt – Experten von Elite-Unis halfen bei der Reparatur.

Die indische Zentralbehörde für Schulbildung (CBSE) hat ihre digitale Infrastruktur wiederhergestellt und ein gesichertes Portal für die Online-Bewertung gestartet. Hintergrund sind schwerwiegende Sicherheitslücken, die ethische Hacker aufgedeckt hatten. Unterstützung kam von Experten der renommierten Indian Institutes of Technology (IIT). Betroffen waren Millionen von Schülerdaten und eingescannte Prüfungsarbeiten.

Anzeige

Immer mehr Unternehmen und Institutionen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen vor Datenverlust schützen. Gratis-E-Book: Cyber-Bedrohungen effektiv abwenden

Entdeckung der Systemlücken

Der 19-jährige ethische Hacker Nisarga Adhikary aus Bengaluru entdeckte die Sicherheitsprobleme bereits Anfang des Jahres. Er fand ein Master-Passwort, das direkt im JavaScript-Code der Website hinterlegt war. Diese Schwachstelle ermöglichte unbefugten Zugriff auf Evaluatoren-Dashboards und Produktionsserver mit vollen Administrationsrechten.

Insgesamt meldete Adhikary 45 Sicherheitslücken an das indische Computer-Notfallteam CERT-In – bereits im Februar. Dazu gehörte auch ein falsch konfigurierter Cloud-Speicher bei Amazon Web Services (AWS). Dadurch waren rund 30 Millionen eingescannte Schülerantwortbögen und verschiedene Datenbanken öffentlich zugänglich. Trotz der frühzeitigen Meldung erhielt der Hacker monatelang keine substanzielle Antwort – erst als er die Erkenntnisse Ende Mai öffentlich machte.

Technische Reparatur mit IIT-Unterstützung

Nach der öffentlichen Enthüllung am 22. Mai stritt die CBSE zunächst die Existenz der Sicherheitslücken ab, bevor sie diese am 1. Juni einräumte. Zur Behebung der Schwachstellen zog die Behörde Spezialteams des IIT Madras und IIT Kanpur hinzu.

Die Experten arbeiteten ab dem 24. Mai täglich 16 bis 18 Stunden an den Systemen. Sie identifizierten sieben bis acht kritische Schwachstellen – darunter Authentifizierungsumgehungen und Datenexpositionsrisiken. Ursache waren Fehlkonfigurationen des externen Dienstleisters COEMPT Eduteck.

Anzeige

Neue KI-Gesetze und komplexe Cyberrisiken stellen Verantwortliche vor immer größere Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um Datenlecks zu vermeiden. Kostenlosen Cyber-Security-Report jetzt herunterladen

In sogenannten "Red Team versus Blue Team"-Übungen testeten die Fachleute die Widerstandsfähigkeit der aktualisierten Systeme. Nach vier Testrunden fanden sich keine weiteren Lücken. Das Portal zur Neuauswertung ging am 2. Juni online, das Bewertungsportal folgte am 5. Juni.

Sicherheitsrisiken auch bei anderen Prüfungen

Die Probleme beschränkten sich nicht auf die CBSE. Der 16-jährige Rylen Anil aus Dubai entdeckte Ende Mai Schwachstellen in den Portalen für die Elite-Universitätsaufnahmeprüfungen JEE Advanced und NEET. Am 31. Mai fand er eine Fehlkonfiguration im JEE-Advanced-2026-Portal, die fast 180.000 Ergebnisdatensätze und mehr als 187.000 Zulassungskarten offenlegte.

Im NEET-Portal umging der Teenager den Super-Admin-Login mit schwachen Zugangsdaten. Potenziell waren Daten tausender Prüfungsbeobachter und Testzentren gefährdet. Die nationale Testagentur NTA bestätigte die Funde und nahm die betroffenen Portale vorübergehend offline.

Rechtsstreit und Systemangriffe

Die Enthüllungen haben ein juristisches Nachspiel. Zwar lud die CBSE Adhikary am 5. Juni zu einem Treffen mit dem IIT-Expertenteam ein, um seine Methodik zu erläutern – gleichzeitig erstattete die Behörde aber Strafanzeige wegen angeblicher DDoS-Angriffe.

Die CBSE meldete massive unbefugte Login-Versuche Anfang Juni: 1,3 Millionen Versuche am 2. Juni, 3 Millionen am 3. Juni. Adhikary bestreitet jede Beteiligung und betont, er habe ausschließlich ethisch gehandelt und bestehende Lücken gemeldet.

Darüber hinaus haben Whistleblower Unregelmäßigkeiten im Vergabeprozess für den Portal-Entwickler angeprangert. Der 18-jährige Sarthak Sidhant wies auf mutmaßliche Ungereimtheiten bei der Auftragsvergabe hin. Die Vorfälle verstärken die Forderungen der ethischen Hacker-Community an die indische Regierung, unabhängige Sicherheitsforscher stärker einzubinden – zum Schutz sensibler Schülerdaten.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
de | wissenschaft | 69492514 |