Отчет: 7 миллионов студенческих записей, представленных K12.com

Отчет: 7 миллионов студенческих записей, представленных K12.com

База данных K12.com, содержащая почти 7 миллионов записей о студентах, была оставлена ​​открытой, чтобы любой, кто подключен к Интернету, мог получить к ней доступ. 25 июня 2019 года Comparitech и исследователь безопасности Боб Дьяченко раскрыли разоблачение. Утечка данных связана с экземпляром MongoDB, который был обнародован.

K12.com предоставляет образовательные онлайн-программы для студентов. Это воздействие затронуло A + nyWhere Learning System (A + LS), которая используется более чем в 1100 школьных округах.

Какая информация была раскрыта?

К12 выставил записи.

Открытая база данных содержала почти 7 миллионов (6 988 504) записей, содержащих данные студентов. Информация, содержащаяся в каждой записи, включала:

  • Основной личный адрес электронной почты
  • ФИО
  • Пол
  • Возраст
  • Дата рождения
  • Название школы
  • Ключи аутентификации для доступа к учетным записям и презентациям ALS
  • Другие внутренние данные

K12 данные бреют.

В этом случае использовалась старая версия MongoDB (2.6.4). Эта версия базы данных не поддерживается с октября 2016 года. Более того, протокол удаленного рабочего стола (RDP) был включен, но не защищен.

Портал удаленного рабочего стола K12.

В результате база данных была проиндексирована поисковыми системами Shodan и BinaryEdge. Это означает, что записи, содержащиеся в базе данных, были видны общественности.

Мы обнаружили индексированные данные 25 июня, но они были общедоступны с 23 июня, и база данных не была закрыта до 1 июля. Таким образом, утечка данных в целом длилась чуть более недели. Неясно, получили ли какие-либо злоумышленники доступ к данным во время разоблачения.

К12 выдержка.

Дьяченко смог связаться с представителями K12 с помощью Dissent Doe, администратора Databreaches.net. К12 был очень отзывчив и предоставил следующее утверждение.

«K12 очень серьезно относится к безопасности данных. Всякий раз, когда нам сообщают о потенциальной проблеме безопасности, мы немедленно расследуем эту проблему и предпринимаем соответствующие действия для исправления ситуации ».

Последствия открытых данных

Хотя утечка этой информации не так страшна, как, например, раскрытие финансовых данных или номеров социального страхования, она имеет свои последствия. Эти фрагменты информации могут быть использованы для нацеливания отдельных учащихся на фишинговый фишинг и мошенничество с захватом аккаунта. Обнародование названия их школы может потенциально подвергнуть учащихся физическому риску.

Если вы или ваш ребенок использовали A + LS на K12.com, ищите такие вещи, как попытки входа в различные учетные записи и фишинговые электронные письма. Обнародование адреса электронной почты также может привести к увеличению объема получаемых вами спам-писем..

О К12.com

K12.com предоставляет онлайн-программы обучения для частных лиц и школ. Похоже, что это воздействие влияет только на программное обеспечение A + LS. В зависимости от настроек, к этой системе могут обращаться учащиеся через настольный клиент на домашнем или школьном компьютере или через Интернет как внутри, так и за пределами школьной сети. Личная информация, такая как имя, адрес электронной почты и дата рождения, требуется для каждого учащегося для создания учетной записи..

Портал A + LS.

Насколько нам известно, в прошлом K12.com не участвовал ни в каких других утечках данных. Тем не менее, это не первое воздействие, затрагивающее учащихся в сфере образования K-12, и оно не будет последним. Действительно, в 2018 году было зарегистрировано 122 инцидента с кибербезопасностью К-12, в которых участвовало 119 образовательных учреждений. Поскольку школы все чаще используют технологии, кибербезопасность будет по-прежнему вызывать растущую обеспокоенность.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

2 + 4 =

Adblock
detector