Hunderte Tausend Studentendaten durch Sicherheitslücken öffentlich – Indien, Mexiko und Singapur betroffen.
Eine beispiellose Welle von Cyberangriffen und Datenlecks hat in den vergangenen Tagen den Bildungssektor getroffen. Besonders brisant: Am renommierten Indian Institute of Technology (IIT) Roorkee waren die Daten von fast 370.000 Bewerbern ungeschützt im Netz einsehbar.
Der massive Diebstahl persönlicher Daten zeigt, wie schnell sensible Informationen wie Handynummern und Geburtsdaten in falsche Hände geraten können. Schützen Sie Ihre digitalen Konten jetzt präventiv vor Missbrauch und Phishing. Kostenlosen Report zur Hacker-Abwehr sichern
IIT Roorkee: Cloud-Fehler legt Prüfungsdaten offen
Das IIT Roorkee bestätigte am 2. und 3. Juni 2026 einen schwerwiegenden Konfigurationsfehler in seinem Cloud-Speicher. Ein falsch eingestellter AWS-Server (cdata.jeeadv.ac.in) machte die Daten aller Kandidaten der Aufnahmeprüfung JEE Advanced 2026 öffentlich zugänglich. Betroffen waren rund 179.600 Ergebnisdatensätze sowie etwa 187.300 PDF-Dokumente der Zulassungskarten.
Die offengelegten Informationen umfassten sensible persönliche Daten: Namen, Geburtsdaten und Handynummern der Studenten. Das Institut betonte zwar, dass die Daten nur lesbar waren und der öffentliche Zugriff inzwischen gesperrt wurde. Ob die betroffenen Kandidaten benachrichtigt wurden, blieb zunächst unklar.
Entdeckt wurde die Sicherheitslücke von einem 16-jährigen Sicherheitsforscher, der unter dem Pseudonym „DarthKermy“ bekannt ist – bürgerlich Rylen Anil.
NTA und CBSE: Systeme unter Beschuss
Die Panne am IIT Roorkee reiht sich ein in eine Serie von Sicherheitsvorfällen bei Indiens nationalen Prüfungsbehörden. Der gleiche Forscher Rylen Anil entdeckte zuvor eine Umgehung des Superadmin-Logins auf dem Portal der National Testing Agency (NTA) für Wiederholungsprüfungen. Diese Schwachstelle gefährdete potenziell die Daten von rund 7.900 Prüfungsbeobachtern, 676 Stadtkoordinatoren und über 5.000 Prüfungszentren.
Parallel dazu kämpfte die Central Board of Secondary Education (CBSE) mit operativen Problemen. Am 2. Juni 2026 wurde das Portal für Prüfungswiederholungen Ziel einer Denial-of-Service-Attacke (DoS) . Innerhalb von nur zwei Minuten generierten die Angreifer 1,5 Millionen Zugriffsversuche. Trotz über 100.000 Versuchen unbefugten Dateizugriffs blieb das Portal funktionsfähig und verarbeitete mehr als 16.000 Studentenanträge.
Bereits im Februar und Mai 2026 hatte die indische Cybersicherheitsbehörde CERT-In die CBSE vor Schwachstellen in ihren Online-Bewertungssystemen gewarnt. Ein spezielles Portal namens OnMark galt nach einem Sicherheitsaudit als nicht produktionsreif.
Immer mehr Institutionen und Unternehmen werden Opfer von gezielten Cyberangriffen – eine proaktive Absicherung ist daher unerlässlich, um Datenverluste zu verhindern. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und aktuelle Bedrohungen frühzeitig erkennen. Gratis E-Book zum Schutz vor Cyberangriffen herunterladen
Internationale Datenlecks und Erpresserbanden
Die Angriffswelle beschränkt sich nicht auf Indien. Am 2. Juni 2026 wurden über zwei Millionen Datensätze mit akademischen Zeugnissen und sozioökonomischen Daten der Universidad Tecnológica del Centro (UTC) in Mexiko in Cyberkriminalitätsforen veröffentlicht. Die geleakten Informationen enthielten nationale Ausweisnummern (CURP), Angaben zu Studienbeihilfen und Kontaktdaten der Studenten. Ein Nutzer namens „MagoSpeak“ stellte die Daten kostenlos zur Verfügung.
In Singapur leitete die Datenschutzkommission PDPC eine Untersuchung zu einem möglichen Datenleck bei PCF Sparkletots ein. Ein externer Dienstleister, LittleLives, meldete unbefugten Zugriff auf Teile eines Studentenverwaltungssystems. Betroffen waren Namen, Kontaktdaten der Eltern sowie Abrechnungsinformationen.
Zudem beanspruchte die Erpresserbande „Shadowbyt3$“ am 2. Juni, das indische Bildungsunternehmen Lead Company (Leadership Boulevard) angegriffen zu haben. Die Gruppe behauptet, Noten und interne Ressourcen gestohlen zu haben. Unabhängige forensische Bestätigungen stehen noch aus.
Prüfungsstress und Sicherheitsrisiken
Die Sicherheitsvorfälle fallen in eine hektische Phase des indischen Bildungssystems. Erst am 1. Juni 2026 wurden die Ergebnisse der JEE Advanced 2026 veröffentlicht. Insgesamt qualifizierten sich 56.880 Kandidaten – ein Anstieg von 4,6 Prozent im Vergleich zum Vorjahr.
Die gemeinsame Studienplatzvergabestelle JoSAA öffnete am 2. Juni die Registrierung für 67.323 Ingenieursstudienplätze an 138 Instituten. Die Bewerbungsfrist läuft bis zum 11. Juni. Unter Hochdruck arbeiten die Verantwortlichen nun daran, ihre Portale gegen weitere unbefugte Zugriffe zu sichern.
