گزارش: 7 میلیون پرونده دانشجویی در معرض K12.com

گزارش: 7 میلیون پرونده دانشجویی در معرض K12.com

یک پایگاه داده K12.com حاوی تقریباً 7 میلیون پرونده دانشجویی باز بود تا هرکسی که دارای اتصال به اینترنت باشد بتواند به آن دسترسی پیدا کند. در تاریخ 25 ژوئن 2019 ، محقق مقایسه و امنیت ، باب دیاچنکو از قرار گرفتن در معرض این بیماری پرده برداشت. نشت داده ها شامل نمونه MongoDB بود که علنی شد.

K12.com برنامه های آموزش آنلاین را برای دانشجویان فراهم می کند. این مواجهه تحت تأثیر سیستم یادگیری A + nyWhere (A + LS) آن است که توسط بیش از 1100 منطقه مدرسه استفاده می شود.

چه اطلاعاتی در معرض دید قرار گرفت?

K12 رکوردها را در معرض دید قرار داد.

این پایگاه داده در معرض نزدیک به 7 میلیون (6،988،504) پرونده حاوی اطلاعات دانش آموزان قرار داشته است. اطلاعات موجود در هر ضبط شامل:

  • آدرس ایمیل شخصی اولیه
  • نام و نام خانوادگی
  • جنسیت
  • سن
  • تاریخ تولد
  • نام مدرسه
  • کلیدهای تأیید اعتبار برای دسترسی به حساب های ALS و ارائه ها
  • سایر داده های داخلی

نقض داده K12.

در این مثال ، نسخه قدیمی MongoDB (2.6.4) مورد استفاده قرار گرفت. این نسخه از بانک اطلاعاتی از اکتبر 2016 پشتیبانی نمی شود. علاوه بر این ، پروتکل دسک تاپ از راه دور (RDP) فعال شده است اما تضمین نشده است.

پورتال دسک تاپ از راه دور K12.

در نتیجه ، این پایگاه داده توسط موتورهای جستجوگر Shodan و BinaryEdge فهرست بندی شد. این بدان معنی است که سوابق موجود در دیتابیس برای عموم قابل مشاهده بود.

ما داده های ایندکس شده را در 25 ژوئن کشف کردیم ، اما از 23 ژوئن عمومی بود و پایگاه داده تا 1 ژوئیه بسته نشده است. بنابراین ، در کل ، نشت داده ها بیش از یک هفته به طول انجامید. مشخص نیست که آیا طرفهای مخرب در حین مواجهه به داده ها دسترسی پیدا کردند یا خیر.

قرار گرفتن در معرض K12.

دیاشنکو با کمک Dissent Doe ، سرپرست Databreaches.net توانست با نمایندگان K12 در تماس باشد. K12 بسیار پاسخگو بود و جمله زیر را ارائه داد.

K12 امنیت داده ها را بسیار جدی می گیرد. هر وقت به ما درباره ی مسئله امنیتی بالقوه توصیه شد ، بلافاصله مسئله را بررسی می کنیم و اقدامات مناسب را برای اصلاح اوضاع انجام می دهیم. "

پیامدهای داده های در معرض

اگرچه نشت این اطلاعات به اندازه مثلاً قرار گرفتن در معرض داده های مالی یا شماره های تأمین اجتماعی بد نیست ، اما پیامدهای آن را به همراه دارد. این اطلاعات می تواند برای هدف قرار دادن دانش آموزان فردی در نیزه ماهیگیری و کلاهبرداری در تصاحب حساب استفاده شود. با انتشار نام مدرسه خود به طور بالقوه می تواند دانش آموزان را در معرض آسیب جسمی قرار دهد.

اگر شما یا فرزندتان از A + LS K12.com استفاده کرده اید ، در جستجوی مواردی مانند تلاش برای ورود به حساب های مختلف و ایمیل های فیشینگ باشید. همچنین داشتن یک آدرس ایمیل عمومی ، ممکن است منجر به افزایش حجم ایمیل های اسپم دریافتی شود.

درباره K12.com

K12.com برنامه های یادگیری آنلاین را برای افراد و مدارس فراهم می کند. به نظر می رسد که این قرار گرفتن در معرض تنها نرم افزار A + LS آن را تحت تأثیر قرار داده است. بسته به تنظیمات ، این سیستم از طریق یک مشتری دسک تاپ در رایانه های منزل یا مدرسه یا از طریق وب چه در داخل و چه در خارج از شبکه یک مدرسه ، توسط دانش آموزان قابل دسترسی است. اطلاعات شخصی مانند نام ، آدرس ایمیل و تاریخ تولد برای ایجاد یک حساب کاربری لازم است.

پورتال A + LS.

تا آنجا که می دانیم ، K12.com در گذشته درگیر هیچ نشت داده دیگری نبوده است. با این حال ، این اولین نمایشگاهی نیست که دانش آموزان در آموزش K-12 را تحت تأثیر قرار می دهد و آخرین نفر نخواهد بود. در واقع ، 122 واقعه امنیت سایبری K-12 در سال 2018 رخ داده است ، که شامل 119 آژانس آموزشی است. از آنجا که مدارس به طور فزاینده ای از فناوری استفاده می کنند ، امنیت سایبری همچنان یک نگرانی رو به رشد خواهد بود.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

5 + 1 =

Adblock
detector