Raport: 7 milionów rekordów studentów ujawnionych przez K12.com

Raport: 7 milionów rekordów studentów ujawnionych przez K12.com


Baza danych K12.com zawierająca prawie 7 milionów rekordów studentów pozostała otwarta, aby każdy z dostępem do Internetu mógł uzyskać do niej dostęp. 25 czerwca 2019 r. Firma Comparitech i badacz ds. Bezpieczeństwa Bob Diachenko odkryli ujawnienie. Wyciek danych dotyczył instancji MongoDB, która została upubliczniona.

K12.com zapewnia programy edukacyjne online dla studentów. Narażenie to wpłynęło na jego A + nyWhere Learning System (A + LS), z którego korzysta ponad 1100 okręgów szkolnych.

Jakie informacje zostały ujawnione?

K12 narażone rekordy.

W odsłoniętej bazie danych przechowywano prawie 7 milionów (6 988 504) rekordów zawierających dane uczniów. Informacje przechowywane w ramach każdego rekordu obejmowały:

  • Główny osobisty adres e-mail
  • Pełne imię i nazwisko
  • Płeć
  • Wiek
  • Data urodzenia
  • Nazwa szkoły
  • Klucze uwierzytelniające umożliwiające dostęp do kont ALS i prezentacji
  • Inne dane wewnętrzne

Naruszenie danych K12.

W tym przypadku używana była stara wersja MongoDB (2.6.4). Ta wersja bazy danych nie jest obsługiwana od października 2016 roku. Ponadto protokół RDP był włączony, ale nie zabezpieczony.

Portal zdalnego pulpitu K12.

W rezultacie baza danych została zaindeksowana zarówno przez wyszukiwarki Shodan, jak i BinaryEdge. Oznacza to, że rekordy zawarte w bazie danych były widoczne publicznie.

Zindeksowane dane odkryliśmy 25 czerwca, ale były one publiczne od 23 czerwca, a baza danych została zamknięta dopiero 1 lipca. W sumie wyciek danych trwał nieco ponad tydzień. Nie jest jasne, czy złośliwe strony miały dostęp do danych podczas ujawnienia.

Ekspozycja K12.

Diachenko był w stanie skontaktować się z przedstawicielami K12 z pomocą Dissent Doe, administratora Databreaches.net. K12 był bardzo elastyczny i dostarczył następujące oświadczenie.

„K12 bardzo poważnie podchodzi do bezpieczeństwa danych. Ilekroć otrzymujemy informację o potencjalnym problemie z bezpieczeństwem, natychmiast badamy ten problem i podejmujemy odpowiednie działania, aby zaradzić tej sytuacji. ”

Konsekwencje narażonych danych

Chociaż wyciek tych informacji nie jest tak zły, jak na przykład ujawnienie danych finansowych lub numerów ubezpieczenia społecznego, ma to swoje konsekwencje. Te informacje mogą być wykorzystywane do atakowania poszczególnych uczniów w celu wyłudzenia informacji i oszustw związanych z przejęciem konta. Upublicznienie nazwy szkoły może potencjalnie narazić uczniów na obrażenia fizyczne.

Jeśli Ty lub Twoje dziecko korzystało z A + LS K12.com, wypatruj takich rzeczy, jak próby logowania do różnych kont i wiadomości phishingowe. Podanie adresu e-mail do wiadomości publicznej może również spowodować wzrost liczby otrzymywanych wiadomości spamowych.

O K12.com

K12.com zapewnia programy edukacyjne online dla osób i szkół. Wydaje się, że to narażenie wpłynęło tylko na jego oprogramowanie A + LS. W zależności od konfiguracji uczniowie mogą uzyskać dostęp do tego systemu za pośrednictwem klienta stacjonarnego na komputerach domowych lub szkolnych lub przez Internet zarówno wewnątrz, jak i poza szkolną siecią. Dane osobowe, takie jak imię i nazwisko, adres e-mail i data urodzenia są wymagane, aby każdy uczeń mógł założyć konto.

Portal A + LS.

O ile nam wiadomo, K12.com nie uczestniczyło w żadnych innych wyciekach danych w przeszłości. Nie jest to jednak pierwsza ekspozycja dotykająca uczniów szkół podstawowych i średnich i nie będzie ostatnią. Rzeczywiście w 2018 r. Miało miejsce 122 incydentów cyberbezpieczeństwa w K-12, w których uczestniczyło 119 agencji edukacyjnych. W miarę jak szkoły coraz częściej korzystają z technologii, cyberbezpieczeństwo będzie nadal stanowiło coraz poważniejszy problem.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

− 6 = 2