Доклад: 7 милиона студентски записи, изложени от K12.com

Доклад: 7 милиона студентски записи, изложени от K12.com


База данни на K12.com, съдържаща почти 7 милиона записи на ученици, беше оставена отворена, така че всеки с интернет връзка да има достъп до нея. На 25 юни 2019 г. Comparitech и изследователят по сигурността Боб Диаченко разкри експозицията. Изтичането на данни включваше инстанция от MongoDB, която беше оповестена публично.

K12.com предоставя онлайн образователни програми за студенти. Тази експозиция повлия на неговата A + nyWhere система за обучение (A + LS), която се използва от повече от 1100 училища.

Каква информация беше изложена?

K12 открити записи.

Изложената база данни съдържа почти 7 милиона (6 988 504) записа, съдържащи данни на учениците. Информацията, съхранявана във всеки запис, включва:

  • Основен личен имейл адрес
  • Пълно име
  • пол
  • възраст
  • Рождена дата
  • Име на училище
  • Ключове за удостоверяване за достъп до акаунти и презентации на ALS
  • Други вътрешни данни

К12 нарушение на данните.

В този случай се използва стара версия на MongoDB (2.6.4). Тази версия на базата данни не се поддържа от октомври 2016 г. Нещо повече, протоколът за отдалечен работен плот (RDP) е активиран, но не е защитен.

K12 портал за отдалечен работен плот.

В резултат на това базата данни беше индексирана както от търсещите машини Shodan, така и от BinaryEdge. Това означава, че записите, съдържащи се в базата данни, са били видими за обществеността.

Открихме индексираните данни на 25 юни, но те бяха публични от 23 юни и базата данни не беше затворена до 1 юли. Така че, общо, изтичането на данни продължи малко повече от една седмица. Не е ясно дали някоя злонамерена страна е получила достъп до данните по време на експозицията.

К12 експозиция.

Диаченко успя да се свърже с K12 представителите със съдействието на Dissent Doe, администратора на Databreaches.net. K12 беше много отзивчив и даде следното изявление.

„K12 приема много сериозно сигурността на данните. Всеки път, когато сме уведомени за потенциален проблем със сигурността, ние незабавно проучваме проблема и предприемаме съответните действия за отстраняване на ситуацията. "

Последици от откритите данни

Въпреки че изтичането на тази информация не е толкова лошо, колкото например излагането на финансови данни или номера на социалното осигуряване, това има своите последствия. Тази информация може да се използва за насочване към отделни студенти при фишинг на копие и измама с акаунти. Публикуването на името на тяхното училище потенциално би могло да изложи учениците на физически наранявания.

Ако вие или вашето дете сте използвали A + LS на K12.com, внимавайте за неща като опити за вход за различни акаунти и фишинг имейли. Публикуването на имейл адрес може да доведе до увеличаване на обема на спам имейлите, които получавате.

За K12.com

K12.com предоставя онлайн програми за обучение на хора и училища. Изглежда, че тази експозиция е засегнала само нейния софтуер A + LS. В зависимост от настройката, тази система може да бъде достъпна от учениците чрез настолен клиент на домашни или училищни компютри или чрез мрежата както вътре, така и извън мрежата на училището. Лична информация като име, имейл адрес и дата на раждане е необходима на всеки ученик, за да създаде акаунт.

Порталът A + LS.

Доколкото знаем, K12.com не е участвал в други течове на данни в миналото. Това обаче не е първата експозиция, засягаща учениците в K-12 образование и няма да бъде последната. Наистина имаше 122 инцидента с киберсигурност К-12 през 2018 г., в които участваха 119 образователни агенции. Тъй като училищата все повече използват технологии, киберсигурността ще продължи да бъде все по-голяма загриженост.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 2 = 1

Adblock
detector