Звіт: 7 мільйонів студентських записів, відкритих K12.com


База даних K12.com, що містить майже 7 мільйонів записів студентів, залишилася відкритою, щоб кожен, хто має Інтернет, мав доступ до неї. 25 червня 2019 року співрозмовник та дослідник безпеки Боб Дяченко розкрили експозицію. У витоку даних було пов’язано екземпляр MongoDB, який був оприлюднений.

K12.com надає програми онлайн-навчання для студентів. Ця експозиція вплинула на її A + ny систему навчання (A + LS), яку використовують більше 1100 шкільних районів.

Яка інформація була викрита?

К12 відкрили записи.

У відкритій базі даних було майже 7 мільйонів (6 988 504) записів, що містять дані студентів. Інформація, що міститься в кожному записі, включала:

  • Основна особиста адреса електронної пошти
  • Повне ім’я
  • Стать
  • Вік
  • День народження
  • Назва школи
  • Ключі аутентифікації для доступу до облікових записів і презентацій ALS
  • Інші внутрішні дані

Порушення даних K12.

У цьому випадку була використана стара версія MongoDB (2.6.4). Ця версія бази даних не підтримується з жовтня 2016 року. Більше того, протокол віддаленого робочого столу (RDP) увімкнено, але не захищено.

Портал віддаленого робочого столу K12.

В результаті база даних була індексована і пошуковими системами Shodan, і BinaryEdge. Це означає, що записи, що містяться в базі даних, були видимими для громадськості.

Ми виявили індексовані дані 25 червня, але вони були відкритими з 23 червня, і база даних була закрита до 1 липня. Таким чином, витік даних тривав трохи більше тижня. Незрозуміло, чи зверталися будь-які зловмисні сторони до даних під час експозиції.

К12-експозиція.

Діаченко зміг зв’язатися з представниками K12 за допомогою Dissent Doe, адміністратора Databreaches.net. K12 був дуже чуйним і надав наступне твердження.

«K12 дуже серйозно ставиться до безпеки даних. Щоразу, коли нас повідомляють про потенційні проблеми безпеки, ми негайно досліджуємо проблему та вживаємо відповідних заходів для виправлення ситуації ».

Наслідки відкритих даних

Хоча витік цієї інформації не настільки поганий, як, наприклад, викриття фінансових даних або номерів соціального страхування, це має свої наслідки. Ці відомості можуть бути використані для націлювання на окремих студентів у фішингу, а також у шахрайстві. Оприлюднення назви їхньої школи може потенційно загрожувати фізичним ушкодженням учнів.

Якщо ви або ваша дитина використовували A + LS K12.com, слідкуйте за такими речами, як спроби входу в різні облікові записи та фішинг-листи. Оприлюднення електронної адреси також може призвести до збільшення кількості отриманих вами спам-листів.

Про K12.com

K12.com надає програми онлайн-навчання для фізичних осіб та шкіл. Схоже, ця експозиція вплинула лише на її програмне забезпечення A + LS. Залежно від налаштування, до цієї системи учні можуть отримати доступ через настільний клієнт на домашніх або шкільних комп’ютерах або через Інтернет як всередині школи, так і поза нею. Особисті дані, такі як ім’я, електронна адреса та дата народження, необхідні кожному студенту для створення облікового запису.

Портал A + LS

Наскільки нам відомо, K12.com раніше не брав участі в будь-яких інших витоках даних. Однак це не перша експозиція, що впливає на учнів у навчанні К-12, і не буде останньою. Дійсно, у 2018 році сталося 122 інциденти з кібербезпекою К-12, за участю 119 освітніх агентств. Оскільки школи все частіше використовують технології, кібербезпека і надалі залишатиметься все більшою проблемою.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map