Zpráva: 7 milionů studentských záznamů vystavených na K12.com

Zpráva: 7 milionů studentských záznamů vystavených na K12.com


Databáze K12.com obsahující téměř 7 milionů záznamů studentů byla ponechána otevřená, aby k ní měl přístup kdokoli s připojením k internetu. 25. června 2019 odhalil expozici srovnávací a bezpečnostní výzkumník Bob Diachenko. Únik dat zahrnoval instanci MongoDB, která byla zveřejněna.

K12.com poskytuje studentům online vzdělávací programy. Tato expozice ovlivnila jeho vzdělávací systém A + nyWhere (A + LS), který používá více než 1100 školních obvodů.

Jaké informace byly odhaleny?

K12 exponované záznamy.

Exponovaná databáze obsahovala téměř 7 milionů (6 988 504) záznamů obsahujících data studentů. Informace uchovávané v každém záznamu zahrnovaly:

  • Primární osobní e-mailová adresa
  • Celé jméno
  • Rod
  • Stáří
  • Datum narození
  • Školní jméno
  • Ověřovací klíče pro přístup k účtům a prezentacím ALS
  • Další interní údaje

Porušení dat K12.

V tomto případě byla použita stará verze MongoDB (2.6.4). Tato verze databáze není od října 2016 podporována. Protokol vzdálené plochy (RDP) byl navíc povolen, ale nebyl zabezpečen.

Portál vzdálené plochy K12.

V důsledku toho byla databáze indexována pomocí vyhledávacích strojů Shodan i BinaryEdge. To znamená, že záznamy obsažené v databázi byly viditelné pro veřejnost.

Indexovaná data jsme objevili 25. června, ale byla veřejná od 23. června a databáze nebyla uzavřena do 1. července. Únik dat tedy trval jen něco málo přes týden. Není jasné, zda k nim během expozice přistupovaly nějaké škodlivé strany.

Expozice K12.

Diachenko byl schopen se spojit s K12 opakováními za pomoci Dissent Doe, administrátora Databreaches.net. K12 byl velmi citlivý a poskytl následující prohlášení.

„K12 bere zabezpečení dat velmi vážně. Kdykoli nás upozorní na potenciální problém se zabezpečením, problém okamžitě prošetříme a podnikneme příslušná opatření k nápravě situace. “

Důsledky exponovaných údajů

Přestože únik těchto informací není tak špatný jako například vystavení finančních údajů nebo čísel sociálního zabezpečení, má to své důsledky. Tyto informace mohou být použity k zacílení na jednotlivé studenty v podvodném phishingu a podvodech s převzetím účtu. Zveřejnění názvu školy by mohlo potenciálně vystavit studenty riziku fyzického poškození.

Pokud jste vy nebo vaše dítě použili A + LS společnosti K12.com, buďte na pozoru před pokusy o přihlášení k různým účtům a phishingovými e-maily. Zveřejnění e-mailové adresy může také vést ke zvýšení objemu nevyžádaných e-mailů.

O K12.com

K12.com poskytuje online vzdělávací programy jednotlivcům a školám. Zdá se, že tato expozice ovlivnila pouze jeho software A + LS. V závislosti na nastavení mohou k tomuto systému přistupovat studenti prostřednictvím stolního klienta na domácích nebo školních počítačích nebo prostřednictvím webu uvnitř i mimo školní síť. Každý student si musí vytvořit osobní údaje, jako je jméno, e-mailová adresa a datum narození.

Portál A + LS.

Pokud víme, K12.com se v minulosti nezúčastnil žádných jiných úniků dat. Toto však není první expozice ovlivňující studenty ve vzdělávání K-12 a nebude poslední. Ve skutečnosti v roce 2018 došlo k 122 kybernetickým incidentům K-12, kterých se zúčastnilo 119 vzdělávacích agentur. Protože školy stále více používají technologii, kybernetická bezpečnost bude i nadále vzrůstajícím problémem.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

91 − = 81