Извештај: 7 милиона студентских записа изложених на К12.цом

Извештај: 7 милиона студентских записа изложених на К12.цом

База података К12.цом која садржи готово 7 милиона студентских записа остављена је отворена да би јој сви који имају интернетску везу могли приступити. 25. јуна 2019. године Цомпаритецх и истраживач сигурности Боб Диацхенко открио је изложбу. Пропуштање података укључивало је инстанцу МонгоДБ која је објављена.

К12.цом пружа интернетске програме образовања за студенте. Ово излагање утицало је на његов А + ниВхере Леарнинг Систем (А + ЛС) који користи више од 1.100 школских округа.

Које су информације биле изложене?

К12 изложени записи.

Изложена база података имала је готово 7 милиона (6.988.504) записа са подацима о студентима. Информације које се налазе у оквиру сваког записа укључују:

  • Примарна лична адреса е-поште
  • Пуно име
  • Пол
  • Старост
  • Датум рођења
  • Назив школе
  • Кључеви за аутентификацију за приступ АЛС рачунима и презентацијама
  • Остали интерни подаци

Кршење података К12.

У овом случају коришћена је стара верзија МонгоДБ (2.6.4). Ова верзија базе података није подржана од октобра 2016. Шта више, протокол удаљене радне површине (РДП) био је омогућен, али није заштићен.

Портал за удаљену радну површину К12.

Као резултат тога, база података је индексирана и претраживачима Сходан и БинариЕдге. То значи да су записи који се налазе у бази података били видљиви јавности.

Индексиране податке открили смо 25. јуна, али били су јавни од 23. јуна, а база података није затворена до 1. јула. Дакле, све у свему, цурење података је трајало нешто више од једне недеље. Није јасно да ли је било која злонамерна страна приступила подацима током излагања.

Излагање К12.

Диацхенко је успео да ступи у контакт са К12 представницима уз помоћ Диссент Дое, администратора Датабреацхес.нет. К12 је био веома реагован и дао је следећу изјаву.

„К12 безбедност података схвата веома озбиљно. Кад год нас обавештавају о потенцијалном безбедносном питању, одмах истражујемо проблем и подузимамо одговарајуће радње да исправимо ситуацију. “

Импликације изложених података

Иако цурење ових информација није тако лоше као, на пример, излагање финансијских података или бројева социјалног осигурања, то има своје последице. Ови подаци могу се користити за циљање појединих ученика у преварама о подметању копља и преварама о преузимању рачуна. Објављивање имена школе потенцијално би могло изложити ученицима физичку повреду.

Ако сте ви или ваше дете користили А + ЛС компаније К12.цом, будите у потрази за стварима попут покушаја пријаве за разне налоге и лажне е-поруке. Објављивање адресе е-поште може такође резултирати повећањем количине нежељене поште коју примите.

Абоут К12.цом

К12.цом нуди програме учења путем Интернета појединцима и школама. Изгледа да је та изложеност утицала само на њен А + ЛС софтвер. Овисно о подешавању, овом систему ученици могу приступити путем десктоп клијента на кућним или школским рачунарима или путем веба унутар и изван школске мреже. Лични подаци као што су име, адреса е-поште и датум рођења потребни су за сваког студента да отвори налог.

А + ЛС портал.

Колико знамо, К12.цом није учествовао ни у једном другом цурењу података у прошлости. Међутим, ово није прво излагање које утиче на ученике у К-12 образовању и неће бити последње. Уистину, било је 122 инцидената за сајбер-безбедност К-12 у 2018. години у којима је учествовало 119 образовних агенција. Док школе све више користе технологију, цибер сигурност ће и даље бити све већа брига.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

38 − = 33

Adblock
detector