Zwei technikaffine Brüder haben schwere Schwachstellen im ICT-System des National Student Financial Aid Scheme entdeckt, die potenziell die persönlichen Daten von Millionen Studenten, einschließlich Bankkonten, für Betrüger freilegen könnten. Die Schwachstellen erlaubten Zugriff auf sensible Nachrichten, Einmal-PINs und sogar administrative Funktionen wie die Änderung von Förderungen. NSFAS hat seit der Meldung die kritischsten Probleme behoben.
Connor Bettridge, ein Informatikstudent am Varsity College in Kapstadt, stieß auf die Probleme, während er bei einer NSFAS-Förderantragshilfe half. Er rief die Kommunikationsseite des Portals auf und sah Adressen, Geschlecht, Einkommen und Bankdetails von Studenten. Sein älterer Bruder Jordan Bettridge, der in der Versicherungstechnologie arbeitet, untersuchte weiter.
Jordan beschrieb, wie das System jedem Zugriff auf alle SMS und E-Mails ermöglichte, die NSFAS seit 2022 versendet hat, einschließlich Einmal-PINs und persönlicher Daten von zwischen einer halben Million und einer Million Antragstellern. „Es war überhaupt nicht schwer. Man konnte ein Skript in 20 Minuten schreiben, das buchstäblich jede einzelne SMS und E-Mail zieht“, sagte er. Durch die Untersuchung des Website-Codes fand Jordan ungesicherte API-Endpunkte für das Admin-Dashboard, die Aktionen wie das Ablehnen von Förderanträgen, Ändern von Bankdetails oder Entzug aktiver Förderungen ermöglichten.
Diese Schwachstellen bauen auf die anhaltenden ICT-Probleme der NSFAS auf, einschließlich Zahlungsverzögerungen und manueller Prozesse, die Studenten Notlagen bereiten. 2024 warnte der ehemalige Administrator Freeman Nomvalo ein parlamentarischen Ausschuss, dass die Systeme anfällig für Cyberangriffe seien und Risiken für Studentendaten bestünden.
Jordan hob potenzielle Folgen hervor: Betrüger könnten Fördermittel auf ihre eigenen Konten umleiten oder geleakte Daten im Dark Web verkaufen. Die Brüder versuchten zuerst, NSFAS direkt zu kontaktieren, erhielten aber keine Antwort. Dann wandten sie sich an MyBroadband und informierten das Medienteam sowie den kommissarischen CEO Waseem Carrim, der bestätigte, dass die Probleme behoben wurden.
NSFAS veröffentlichte eine Erklärung, in der bestätigt wurde, dass angemeldete Nutzer alle systemgenerierten Nachrichten, einschließlich OTPs, einsehen konnten und dass bestimmte API-Endpunkte unsicher waren, was Admin-Aktionen wie den Entzug von Berufungen ermöglichte. „NSFAS wurde auf eine potenzielle Sicherheitslücke aufmerksam und aktivierte umgehend seine Informationssicherheits- und Incident-Management-Protokolle“, hieß es darin. Die Behörde stärkte Zugriffskontrollen und verbesserte die Überwachung, ging aber nicht auf die Verantwortung für die Systemeinrichtung ein.
Dieser Vorfall erinnert an einen Fall aus 2024, in dem Studenten der Stellenbosch University Betrugsschwachstellen im SASSA-Sozialhilfesystem aufdeckten und eine parlamentarische Untersuchung auslösten.
