Rapport: 7 miljoen studentenrecords blootgesteld door K12.com

Rapport: 7 miljoen studentenrecords blootgesteld door K12.com


Een K12.com-database met bijna 7 miljoen studentenrecords werd opengelaten zodat iedereen met een internetverbinding er toegang toe kon krijgen. Op 25 juni 2019 hebben Comparitech en beveiligingsonderzoeker Bob Diachenko de blootstelling ontdekt. Het gegevenslek betrof een MongoDB-instantie die openbaar werd gemaakt.

K12.com biedt online onderwijsprogramma's voor studenten. Deze blootstelling had invloed op het A + nyWhere Learning System (A + LS) dat door meer dan 1.100 schooldistricten wordt gebruikt.

Welke informatie is blootgelegd?

K12 blootgestelde records.

De zichtbare database bevatte bijna 7 miljoen (6.988.504) records met gegevens van studenten. De informatie in elk record omvatte:

  • Primair persoonlijk e-mailadres
  • Voor-en achternaam
  • Geslacht
  • Leeftijd
  • Geboortedatum
  • Schoolnaam
  • Verificatiesleutels voor toegang tot ALS-accounts en presentaties
  • Overige interne gegevens

K12 datalek.

In dit geval werd een oude versie van MongoDB (2.6.4) gebruikt. Deze versie van de database wordt sinds oktober 2016 niet meer ondersteund. Bovendien was het Remote Desktop Protocol (RDP) ingeschakeld maar niet beveiligd.

K12 extern bureaubladportaal.

Als gevolg hiervan werd de database geïndexeerd door zowel de Shodan- als de BinaryEdge-zoekmachine. Dit betekent dat de records in de database zichtbaar waren voor het publiek.

We hebben de geïndexeerde gegevens op 25 juni ontdekt, maar deze waren sinds 23 juni openbaar en de database werd pas op 1 juli gesloten. Het gegevenslek duurde dus in totaal iets meer dan een week. Het is onduidelijk of kwaadwillende partijen toegang hebben gehad tot de gegevens tijdens de blootstelling.

K12 blootstelling.

Diachenko kwam in contact met K12-vertegenwoordigers met de hulp van Dissent Doe, de beheerder van Databreaches.net. K12 was zeer responsief en gaf de volgende verklaring.

“K12 neemt gegevensbeveiliging zeer serieus. Wanneer we op de hoogte worden gesteld van een mogelijk beveiligingsprobleem, onderzoeken we het probleem onmiddellijk en nemen we de juiste maatregelen om de situatie te verhelpen. "

Implicaties van blootgestelde gegevens

Hoewel het lekken van deze informatie niet zo erg is als bijvoorbeeld de blootstelling van financiële gegevens of sofi-nummers, heeft het wel zijn implicaties. Deze stukjes informatie kunnen worden gebruikt om individuele studenten te targeten bij spear phishing en accountovernamefraude. Door hun schoolnaam openbaar te maken, kunnen studenten mogelijk het risico lopen op lichamelijk letsel.

Als u of uw kind de A + LS van K12.com heeft gebruikt, kijk dan uit naar inlogpogingen voor verschillende accounts en phishing-e-mails. Het openbaar maken van een e-mailadres kan ook leiden tot een toename van het aantal spam-e-mails dat u ontvangt.

Over K12.com

K12.com biedt online leerprogramma's voor particulieren en scholen. Het lijkt erop dat deze blootstelling alleen zijn A + LS-software heeft beïnvloed. Afhankelijk van de configuratie is dit systeem toegankelijk voor studenten via een desktopclient op thuis- of schoolcomputers, of via internet zowel binnen als buiten het netwerk van een school. Persoonlijke informatie zoals naam, e-mailadres en geboortedatum is vereist voor elke student om een ​​account aan te maken.

Het A + LS-portaal.

Voor zover wij weten, is K12.com in het verleden niet betrokken geweest bij andere datalekken. Dit is echter niet de eerste keer dat studenten in het K-12-onderwijs worden getroffen en zal niet de laatste zijn. Er waren inderdaad 122 K-12 cyberveiligheidsincidenten in 2018, waarbij 119 onderwijsinstellingen betrokken waren. Naarmate scholen steeds meer technologie gebruiken, blijft cyberveiligheid een groeiende zorg.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

72 − = 62