Izvještaj: 7 milijuna studentskih zapisa izloženih na K12.com

Izvještaj: 7 milijuna studentskih zapisa izloženih na K12.com

K12.com baza podataka koja sadrži gotovo 7 milijuna studentskih zapisa ostala je otvorena kako bi joj svi s internetskom vezom mogli pristupiti. 25. lipnja 2019. godine Comparitech i istraživač sigurnosti Bob Diachenko otkrio je izložbu. Propuštanje podataka uključivalo je instancu MongoDB koja je objavljena u javnosti.

K12.com pruža internetske programe obrazovanja za studente. Izloženost utjecala je na njegov A + nyWhere Learning System (A + LS) koji koristi više od 1.100 školskih okruga.

Kakve su informacije bile izložene?

K12 izloženi zapisi.

Izložena baza podataka imala je gotovo 7 milijuna (6.988.504) zapisa koji sadrže podatke o studentima. Podaci sadržani u svakom zapisu uključuju:

  • Primarna osobna adresa e-pošte
  • Puno ime
  • rod
  • Dob
  • Datum rođenja
  • Skolsko ime
  • Ključevi za provjeru autentičnosti za pristup ALS računima i prezentacijama
  • Ostali interni podaci

Kršenje podataka K12.

U ovom slučaju korištena je stara verzija MongoDB (2.6.4). Ova verzija baze podataka nije podržana od listopada 2016. Nadalje, protokol daljinske radne površine (RDP) omogućen je, ali nije zaštićen.

Portal za udaljenu radnu površinu K12.

Kao rezultat toga, baza podataka indeksirana je oba pretraživača Shodan i BinaryEdge. To znači da su zapisi koji se nalaze u bazi podataka bili vidljivi javnosti.

Indeksirane podatke otkrili smo 25. lipnja, ali bili su javni od 23. lipnja, a baza podataka bila je zatvorena do 1. srpnja. Dakle, sve u svemu, curenje podataka trajalo je nešto više od tjedan dana. Nije jasno jesu li neke zlonamjerne strane pristupile podacima tijekom izlaganja.

Izloženost K12.

Diachenko je uspio stupiti u kontakt s K12 predstavnicima uz pomoć Dissent Doe, administratora Databreaches.net. K12 bio je vrlo odaziv i dao je sljedeću izjavu.

„K12 sigurnost podataka uzima vrlo ozbiljno. Kad god nas obavijeste o potencijalnom sigurnosnom problemu, odmah istražujemo problem i poduzimamo odgovarajuće radnje da ispravimo situaciju. "

Implikacije izloženih podataka

Iako curenje tih podataka nije tako loše kao, na primjer, izlaganje financijskih podataka ili brojeva socijalnog osiguranja, ima svoje posljedice. Ti se podaci mogu upotrijebiti za ciljanje pojedinih učenika u prevarama o podmetanju koplja i prevarama o preuzimanju računa. Objavljivanje imena škole potencijalno bi moglo izložiti učenicima fizičku štetu.

Ako ste vi ili vaše dijete koristili A + LS tvrtke K12.com, budite u potrazi za stvarima poput pokušaja prijave za razne račune i phishing e-pošte. Objavljivanje adrese e-pošte može također rezultirati povećanjem količine neželjene e-pošte koju primite.

O K12.com

K12.com nudi programe učenja putem Interneta pojedincima i školama. Izgleda da je ta izloženost utjecala samo na A + LS softver. Ovisno o postavljanju, ovom sustavu učenici mogu pristupiti putem desktop klijenta na kućnim ili školskim računalima ili putem weba unutar i izvan školske mreže. Osobni podaci poput imena, adrese e-pošte i datuma rođenja potrebni su za svakog učenika da bi stvorio račun.

Portal A + LS.

Koliko znamo, K12.com nije bio uključen ni u jedno drugo curenje podataka u prošlosti. Međutim, ovo nije prvo izlaganje koje utječe na učenike u K-12 obrazovanju i neće biti posljednje. Doista, u 2018. godini se dogodilo 122 incidenta za cyber-sigurnost u kojima je sudjelovalo 119 obrazovnih agencija. Kako škole sve više koriste tehnologiju, cyber-sigurnost i dalje ostaje zabrinjavajuća.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

14 − 7 =

Adblock
detector