Блог

Доклад: 7 милиона студентски записи, разкрити от K12.com

K12 докладва рекордна експозиция



База данни K12.com, съдържаща почти 7 милиона студентски записа, беше оставена отворена, така че всеки с интернет връзка да може да получи достъп до нея. На 25 юни 2019 г. Comparitech и изследователят по сигурността Боб Диаченко разкриха експозицията. Изтичането на данни включва екземпляр на MongoDB, който беше публикуван.

K12.com предоставя онлайн образователни програми за студенти. Това излагане засегна неговата система за обучение A+nyWhere (A+LS), която се използва от повече от 1100 училищни района .



Каква информация беше разкрита?

К12 открити записи.

Разкритата база данни съдържа почти 7 милиона (6 988 504) записа, съдържащи данни на студенти. Информацията, съхранявана във всеки запис, включва:



  • Основен личен имейл адрес
  • Пълно име
  • Пол
  • Възраст
  • Рождена дата
  • Име на училище
  • Ключове за удостоверяване за достъп до ALS акаунти и презентации
  • Други вътрешни данни

K12 нарушение на данните.

В този случай се използва стара версия на MongoDB (2.6.4). Тази версия на базата данни не се поддържа от октомври 2016 г . Нещо повече, протоколът за отдалечен работен плот (RDP) беше активиран, но не и защитен.

K12 портал за отдалечен работен плот.

В резултат на това базата данни беше индексирана както от търсачките Shodan, така и от BinaryEdge. Това означава, че записите, съдържащи се в базата данни, са били видими за обществеността.

Открихме индексираните данни на 25 юни, но те бяха публични от 23 юни и базата данни не беше затворена до 1 юли. Така че като цяло изтичането на данни продължи малко повече от една седмица. Не е ясно дали някакви злонамерени страни са имали достъп до данните по време на експозицията.

К12 експозиция.

Диаченко успя да се свърже с представители на K12 с помощта на Dissent Doe, администратор на Databreaches.net. K12 беше много отзивчив и предостави следното изявление.

„K12 приема много сериозно сигурността на данните. Всеки път, когато бъдем уведомени за потенциален проблем със сигурността, ние проучваме проблема незабавно и предприемаме подходящите действия, за да коригираме ситуацията.“

Последици от разкритите данни

Въпреки че изтичането на тази информация не е толкова лошо, колкото например разкриването на финансови данни или номера на социалното осигуряване, то има своите последици. Тези части от информация могат да се използват за насочване към отделни ученици фишинг и измама с поглъщане на акаунт . Публичното оповестяване на името на училището може потенциално да изложи учениците на риск от физическо увреждане.

Ако вие или вашето дете сте използвали A+LS на K12.com, внимавайте за неща като опити за влизане в различни акаунти и фишинг имейли . Наличието на публичен имейл адрес може също да доведе до увеличаване на обема на спам имейлите, които получавате.

Относно K12.com

K12.com предоставя онлайн програми за обучение на хора и училища. Изглежда, че това излагане е засегнало само неговия A+LS софтуер. В зависимост от настройката, тази система може да бъде достъпна от учениците чрез настолен клиент на домашни или училищни компютри или чрез мрежата както вътре, така и извън мрежата на училището. Лична информация като име, имейл адрес и дата на раждане е необходима на всеки ученик, за да създаде акаунт.

Порталът A+LS.

Доколкото знаем, K12.com не е участвал в други изтичания на данни в миналото. Това обаче не е първото излагане, засягащо учениците в K-12 образование и няма да е последното. Наистина имаше 122 K-12 инцидента в киберсигурността през 2018 г , включващ 119 образователни агенции. Тъй като училищата все повече използват технологии, киберсигурността ще продължи да бъде нарастваща загриженост.

^