Οι ερευνητές ασφαλείας της WizCase ανακάλυψαν μη προστατευμένα databases που ανήκουν σε διάφορες e-learning πλατφόρμες, οι οποίες εκτέθηκαν online χωρίς την προστασία κωδικού πρόσβασης. Τα μη κρυπτογραφημένα databases διέρρευσαν προσωπικά αναγνωρίσιμα στοιχεία (PII) πάνω από 1 εκατομμύριο χρηστών e-learning πλατφορμών. Μεταξύ των data χρηστών που διέρρευσαν περιλαμβάνονται ονόματα, email, κωδικοί πρόσβασης, αριθμοί ταυτότητας, αριθμοί τηλεφώνων, διευθύνσεις κατοικιών, ημερομηνίες γεννήσεως, καθώς και πληροφορίες που σχετίζονται με τα μαθήματα που πραγματοποιούνται στις e-learning πλατφόρμες.
Τα databases φιλοξενούνταν σε servers με “κακό” configuration, κι έτσι μπορούσε οποιοσδήποτε να έχει πρόσβαση χωρίς έλεγχο ταυτότητας. Η WizCase ανέφερε πως ανακάλυψε παραβιάσεις σε πέντε διαφορετικά online εκπαιδευτικά ιδρύματα. Τα data ήταν αποθηκευμένα σε τέσσερα Amazon S3 buckets και σε έναν ElasticSearch server.
Η παραβίαση που εντοπίστηκε από τους ερευνητές της Wizcase, επηρεάζει 5 διαφορετικές e-learning εταιρείες:
- Escola Digital: Από το e-learning website της Βραζιλίας διέρρευσαν πολλά αρχεία CSV με τα προσωπικά στοιχεία των χρηστών του. Τα data που διέρρευσαν, συλλέγονταν από το 2016 μέχρι το 2017.
- MyTopDog: Η πλατφόρμα που απευθύνεται ειδικά σε παιδιά σχολικής ηλικίας με έδρα τη Νότια Αφρική, εκθέτει data πάνω από 800.000 μαθητών, καθώς και άλλες επιχειρηματικές πληροφορίες.
- Okoo: Η e-learning πλατφόρμα για παιδιά, εκθέτει σχεδόν 1 εκατομμύριο καταχωρήσεις της δραστηριότητας των χρηστών.
- Square Panda: Η virtual πλατφόρμα που δημιουργήθηκε για να βοηθήσει τα παιδιά να μάθουν να διαβάζουν και να γράφουν μέσα από διάφορα online παιχνίδια, εκθέτει αρχεία πάνω από 15.000 χρηστών.
- Playground Sessions: Από την πλατφόρμα που προσφέρει virtual μαθήματα πιάνου, διέρρευσαν αρχεία πάνω από 4.000 χρηστών. Πολλοί από τους χρήστες που επηρεάζονται από την παραβίαση είναι παιδιά και νέοι, ενώ οι επιτιθέμενοι ενδέχεται να πραγματοποιήσουν phishing επιθέσεις και επιθέσεις απάτης, χρησιμοποιώντας αυτά τα στοιχεία.
Με το ξέσπασμα της παγκόσμιας πανδημίας του COVID-19, αυξήθηκε η χρήση e-learning πλατφορμών. Έτσι, χάκερς στόχευσαν πολυάριθμα e-learning portal, για να κλέψουν τα προσωπικά στοιχεία των χρηστών. Πρόσφατα, η e-learning πλατφόρμα “Unacademy” με έδρα την Ινδία υπέστη data breach που αποκάλυψε πληροφορίες 22 εκατομμυρίων χρηστών. Η εταιρεία κυβερνοασφάλειας “Cyble” αποκάλυψε ότι χάκερς διέθεσαν 21,909,707 αρχεία χρηστών προς πώληση σε υπόγεια φόρουμ, στην τιμή των 2.000 $. Μεταξύ των πληροφοριών που παραβιάστηκαν, περιλαμβάνονταν ονόματα χρηστών, κωδικοί πρόσβασης, ημερομηνίες συμμετοχής, ημερομηνία τελευταίας σύνδεσης, κατάσταση λογαριασμού, διευθύνσεις email, ονόματα και επώνυμα, καθώς και άλλα στοιχεία λογαριασμών χρηστών. Επίσης, η ισπανική e-learning πλατφόρμα “8Belts” υπέστη data breach που είχε ως αποτέλεσμα να διαρρεύσουν προσωπικά data πάνω από 100.000 e-learners από όλο τον κόσμο.
