Ulat: 7 milyong tala ng mag-aaral na nakalantad ng K12.com


Ang isang database ng K12.com na naglalaman ng halos 7 milyong talaan ng mag-aaral ay naiwang bukas upang ang sinumang may koneksyon sa internet ay maaaring ma-access ito. Noong Hunyo 25, 2019, natuklasan ng Comparitech at security researcher na si Bob Diachenko ang pagkakalantad. Ang data na tumagas ay kasangkot sa isang halimbawa ng MongoDB na ginawang publiko.

Ang K12.com ay nagbibigay ng mga programa sa online na edukasyon para sa mga mag-aaral. Ang pagkakalantad na ito ay nakaapekto sa A + nyWhere Learning System (A + LS) na ginagamit ng higit sa 1,100 mga distrito ng paaralan.

Anong impormasyon ang nakalantad?

K12 nakalantad na mga tala.

Ang nakalantad na database ay gaganapin ng halos 7 milyon (6,988,504) na mga talaan na naglalaman ng data ng mga mag-aaral. Ang impormasyong gaganapin sa loob ng bawat tala ay kasama:

  • Pangunahing personal na email address
  • Buong pangalan
  • Kasarian
  • Edad
  • Araw ng kapanganakan
  • Pangalan ng paaralan
  • Mga susi ng pagpapatunay para sa pag-access sa mga account ng ALS at mga presentasyon
  • Iba pang mga panloob na data

Paglabag sa data ng K12.

Sa pagkakataong ito, ginamit ang isang lumang bersyon ng MongoDB (2.6.4). Ang bersyon na ito ng database ay hindi suportado mula noong Oktubre 2016. Ano pa, pinagana ang Remote Desktop Protocol (RDP) ngunit hindi ligtas.

K12 remote desktop portal.

Bilang isang resulta, ang database ay na-index ng parehong mga search engine ng Shodan at BinaryEdge. Nangangahulugan ito na ang mga rekord na nilalaman sa database ay makikita ng publiko.

Natuklasan namin ang mga na-index na data noong Hunyo 25 ngunit naging publiko ito mula noong Hunyo 23 at ang database ay hindi isinara hanggang Hulyo 1. Kaya, sa lahat, ang data na tumagas ay tumagal lamang ng isang linggo. Hindi malinaw kung mayroon man o hindi nakakasamang partido na na-access ang data sa panahon ng pagkakalantad.

K12 pagkakalantad.

Si Diachenko ay nakipag-ugnay sa mga K12 reps sa tulong ng Dissent Doe, ang tagapangasiwa ng Databreaches.net. Ang K12 ay napaka-tumutugon at ibinigay ang sumusunod na pahayag.

“Sobrang seryoso ng K12 ang seguridad ng data. Sa tuwing pinapayuhan tayo ng isang potensyal na isyu sa seguridad, sinisiyasat agad namin ang problema, at gumawa ng naaangkop na mga aksyon upang malutas ang sitwasyon. “

Implikasyon ng nakalantad na data

Habang ang pagtagas ng impormasyong ito ay hindi masama tulad ng, halimbawa, ang pagkakalantad ng mga data sa pananalapi o mga numero ng Social Security, mayroon itong mga implikasyon. Ang mga piraso ng impormasyon na ito ay maaaring magamit upang ma-target ang mga indibidwal na mag-aaral sa sibat sa phishing at pandaraya sa account. Ang pagkakaroon ng pangalan ng kanilang paaralan na ipakilala sa publiko ay maaaring ilagay sa peligro ang panganib sa pisikal na pinsala sa mga mag-aaral.

Kung ginamit mo o ng iyong anak ang A + LS ng K12.com, mag-ingat sa mga bagay tulad ng mga pagtatangka sa pag-login para sa iba’t ibang mga account at email sa phishing. Ang pagkakaroon ng isang email address na ginawang pampubliko ay maaari ring magresulta sa isang pagtaas ng dami ng mga spam email na natanggap mo.

Tungkol sa K12.com

Nagbibigay ang K12.com ng mga online learning program sa mga indibidwal at paaralan. Lumalabas na nakakaapekto lamang ang pagkahantad na ito sa A + LS software. Depende sa pag-setup, ang sistemang ito ay ma-access ng mga mag-aaral sa pamamagitan ng isang desktop client sa mga computer sa bahay o paaralan, o sa pamamagitan ng web sa loob at labas ng isang network ng paaralan. Ang personal na impormasyon tulad ng pangalan, email address, at petsa ng kapanganakan ay kinakailangan para sa bawat mag-aaral na lumikha ng isang account.

Ang portal ng A + LS.

Sa pagkakaalam natin, ang K12.com ay hindi kasali sa anumang iba pang mga data na tumagas sa nakaraan. Gayunpaman, hindi ito ang unang pagkakalantad na nakakaapekto sa mga mag-aaral sa K-12 na edukasyon at hindi magiging huling. Sa katunayan, mayroong 122 K-12 na mga insidente ng cybersecurity noong 2018, na may kasamang 119 ahensya ng edukasyon. Habang ang mga paaralan ay lalong gumagamit ng teknolohiya, ang cybersecurity ay magpapatuloy na nagiging isang pag-aalala.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map