Informe: 7 milions de registres d’estudiants exposats per K12.com


Es va deixar oberta una base de dades K12.com que contenia gairebé 7 milions de registres d’estudiants perquè qualsevol persona amb connexió a Internet pogués accedir-hi. El dia 25 de juny de 2019, el investigador de Comparitech i seguretat Bob Diachenko va destapar l’exposició. La filtració de dades va implicar una instància de MongoDB que es va fer pública.

K12.com proporciona programes d’educació en línia per als estudiants. Aquesta exposició va afectar el seu sistema d’aprenentatge A + nyWhere (A + LS) que és utilitzat per més de 1.100 districtes escolars.

Quina informació estava exposada?

Registres exposats per K12.

La base de dades exposada contenia prop de 7 milions (6.988.504) registres que contenien dades dels estudiants. La informació de cada registre incloïa:

  • Adreça de correu electrònic personal principal
  • Nom complet
  • Gènere
  • Edat
  • Data de naixement
  • Nom de l’escola
  • Claus d’autenticació per accedir a comptes i presentacions ALS
  • Altres dades internes

Incompliment de dades K12.

En aquest cas, s’està utilitzant una versió antiga de MongoDB (2.6.4). Aquesta versió de la base de dades no és compatible des d’octubre de 2016. A més, el Protocol d’escriptori remot (RDP) està activat, però no estava segur.

Portal d'escriptori remot K12.

Com a resultat, la base de dades va ser indexada tant pels motors de cerca Shodan com BinaryEdge. Això significa que els registres de la base de dades eren visibles per al públic.

Vam descobrir les dades indexades el 25 de juny, però eren públiques des del 23 de juny i la base de dades no es va tancar fins a l’1 de juliol. Així doncs, la fuga de dades va durar poc més d’una setmana. No està clar si cap part maliciosa va accedir a les dades durant l’exposició.

Exposició K12.

Diachenko va poder contactar amb els representants del K12 amb l’assistència de Dissent Doe, l’administrador de Databreaches.net. El K12 va respondre molt i va proporcionar la següent declaració.

“K12 es pren molt seriosament la seguretat de les dades. Sempre que se’ns informa d’un problema de seguretat potencial, investiguem el problema immediatament, i prenem les accions oportunes per solucionar la situació. “

Implicacions de dades exposades

Si bé la filtració d’aquesta informació no és tan dolenta com, per exemple, l’exposició de dades financeres o números de la Seguretat Social, sí que té conseqüències. Aquestes dades d’informació es poden utilitzar per orientar els estudiants individuals en phishing de llança i frau en la presa de comptes. Si es fa públic el nom de l’escola, els estudiants podrien posar en risc els perjudicis físics.

Si vosaltres o el vostre fill heu utilitzat l’A + LS de K12.com, aneu a l’abast de coses com ara els intents d’inici de sessió de diversos comptes i correus electrònics de phishing. Si es fa pública una adreça de correu electrònic, també es pot produir un augment del volum de missatges de correu electrònic de correu brossa que rebeu.

Quant a K12.com

K12.com proporciona programes d’aprenentatge en línia a particulars i escoles. Sembla que aquesta exposició només va afectar el seu programari A + LS. En funció de la configuració, els estudiants poden accedir a aquest sistema a través d’un client d’escriptori en ordinadors de casa o escola, o a través del web dins i fora de la xarxa de l’escola. Es necessita informació personal, com ara el nom, l’adreça de correu electrònic i la data de naixement perquè cada estudiant crei un compte.

El portal A + LS.

Fins al que sabem, K12.com no ha participat en cap altra fuga de dades en el passat. Tanmateix, aquesta no és la primera exposició que afecta els estudiants a l’educació K-12 i no serà la darrera. De fet, es van produir 122 incidents de ciberseguretat K-12 el 2018, que van involucrar 119 agències educatives. A mesura que les escoles utilitzin cada vegada més la tecnologia, la ciberseguretat continuarà sent una preocupació creixent.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map