Σύμφωνα με το vpnMentor τα δεδομένα περίπου ενός εκατομμυρίου μαθητών της πλατφόρμας e-Learning, OneClass έχουν διαρρεύσει.
Η πλατφόρμα online διδασκαλίας, με έδρα της το Τορόντο, παρέχει οδηγούς μελέτης και άλλο εκπαιδευτικό υλικό σε πάνω από 600.000 μαθητές της βόρειας Αμερικής.
Τον Μάιο, η vpnMentor ανακάλυψε μια βάση δεδομένων Elasticsearch που φιλοξενείται στο Amazon Web Services (AWS), η οποία ήταν εντελώς εκτεθειμένη και ο καθένας με πρόσβαση στο internet θα μπορούσε να τη δει.
Η βάση δεδομένων βρέθηκε να περιλαμβάνει συνολικά 8.972.251 αρχεία που αντιπροσωπεύουν πληροφορίες για περισσότερα από 1 εκατομμύριο άτομα. Τα δεδομένα περιλαμβάνουν αναγνωριστικά στοιχεία και εκπαιδευτικά αρχεία.
Εκτός όμως από πληροφορίες για τα μέλη της πλατφόρμας, η βάση δεδομένων περιλάμβανε και στοιχεία ατόμων που είχαν κάνει αίτηση αλλά δεν μπόρεσαν να γίνουν μέλη της πλατφόρμας.
Οι ερευνητές ασφαλείας ανακάλυψαν την εκτεθειμένη βάση δεδομένων στις 20 Μαΐου και επικοινώνησαν με τον πωλητή στις 25 Μαΐου και την επόμενη μέρα ασφαλίστηκε.
Σύμφωνα με την OneClass, επρόκειτο για μια δοκιμή και τα δεδομένα που περιέχονταν στην βάση δεδομένων «δεν είχαν σχέση με πραγματικά άτομα».
«Ωστόσο, κατά την έρευνά μας, χρησιμοποιήσαμε διαθέσιμες στο κοινό πληροφορίες για να επαληθεύσουμε ένα μικρό δείγμα αρχείων στη βάση δεδομένων. Λαμβάνοντας τα δεδομένα PII από πολλές εγγραφές, βρήκαμε τα social media των καθηγητών και άλλων χρηστών σε διάφορες πλατφόρμες που ταιριάζουν με τα αρχεία στη βάση δεδομένων του OneClass», δήλωσε η vpnMentor.
Τα στοιχεία στη βάση δεδομένων περιλάμβαναν PII όπως πλήρη ονόματα και αριθμούς τηλεφώνου, διευθύνσεις email, πληροφορίες σχετικά με τα σχολεία και τα πανεπιστήμια, λεπτομέρειες εγγραφής μαθημάτων σχολείου / πανεπιστημίου και άλλες πληροφορίες που σχετίζονται με τον λογαριασμό OneClass.
Σε ορισμένες περιπτώσεις, αποθηκεύτηκαν πρόσθετες πληροφορίες για μαθητές και μαθήματα, όπως λεπτομέρειες σχολής και πρόσβαση σε προστατευμένα εγχειρίδια και ασκήσεις. Τα περισσότερα από τα δεδομένα στο OneClass είναι δωρεάν, αλλά υπάρχει και περιεχόμενο μόνο για χρήστες που πληρώνουν.
Όπως εξήγησε η vpnMentor, οι εκτεθειμένες πληροφορίες θα μπορούσαν να φανούν πολύ χρήσιμες σε κακόβουλους παράγοντες, αν υποθέσουμε ότι η βάση δεδομένων ανακαλύφθηκε από hackers όσο διάστημα ήταν εκτεθημένη.
