Et dataovertrædelse på den spanske e-læringsplatform 8 Bælter påvirker mere end 150.000 brugere på verdensplan
8Belts er en spansk online læringsplatform, der er specialiseret i fremmedsprogskurser. Det blev grundlagt i 2011, og det blev delvis finansieret af EU's Europæiske Regionaludviklingsfond og den spanske regering. Ifølge sikkerhedsforskere Noam Rotem og Ran Locar bruges 8Belts imidlertid af mennesker fra hele verden, herunder Angola, Australien, Barbados, Belgien, USA og Uzbekistan. Du spekulerer måske på, hvordan et par sikkerhedseksperter ved, at mange detaljer om brugerbasen til en e-learning-platform. Desværre fandt de oplysningerne i en ubeskyttet database.
Table of Contents
En anden dag, en anden eksponeret database
Som nogle af jer måske ved, leder Rotem og Locar et team af forskere, der arbejder for VPNMentor. I de sidste par måneder har de arbejdet på et massivt webkortkortprojekt med det mål at forbedre den generelle datasikkerhed. I processen har de imidlertid vist, hvor let det er at udsætte gigabyte med privat information.
Tjenesteudbydere laver en række fejl, og en af de mest almindelige er at efterlade en database fuld af brugernes personlige data i en offentligt tilgængelig Amazon Web Service S3-spand. De glemmer ofte at beskytte spanden med et kodeord, og i processen udsætter de utilsigtet det for enhver med en internetforbindelse. Mange virksomheder har gjort det, og i midten af april fandt VPNMentors forskere ud af, at 8Belts var tilsluttet klubben.
8Bælter lægger en produktionsdatabase i en offentlig S3-opbevaringsbakke
Da de fandt databasen, så eksperterne, at nogle af posterne i den dateres tilbage til 2017, men mens de forsøgte at finde ud af, hvem ejeren er, så de, at oplysninger blev tilføjet i realtid. Med andre ord var det en aktiv produktionsdatabase, der indsamlede detaljerne for splinternye 8Belts-brugere. Der var også en masse detaljer.
I en af CVS-filerne så eksperterne optegnelserne over ikke mindre end 150 tusind 8Belts-brugere. Hver post indeholdt følgende detaljer:
- navne
- Email adresse
- Telefonnummer
- Bopælsland
- Fødselsdato
Desværre indeholdt andre filer i spanden endnu mere følsomme data, inklusive de nationale ID-numre for både studerende og mentorer.
Overtrædelsen kunne have haft forfærdelige konsekvenser for både 8Belts og dets kunder
Du kan allerede se, at den spanske e-læringsplatform lækkede en masse personligt identificerbare oplysninger, og hvad forskerne beskrev som "et betydeligt bortfald i 8Belts 'sikkerhedsprotokoller" kunne have resulteret i masser af tilfælde af identitetstyveri. Desværre var det ikke alt.
På sin hjemmeside mærker 8Belts om at levere fremmedsprogskurser til medarbejderne i en række store, verdenskendte virksomheder. Blandt dens partnere finder du virksomheder som Huawei, Deloitte, PricewaterhouseCoopers, Santander osv. Selvfølgelig var de personlige oplysninger om ansatte i disse virksomheder også i 8Belts 'database. Dette udsatte ikke kun medarbejderne selv, men det kunne også have sat læringsplatformens klienter i fare.
Derudover opdagede VPNMentors team serverlogfiler, der afslørede, hvordan nogle af 8Belts 'backend-systemer fungerer. Disse oplysninger kunne have hjulpet cyberkriminelle med at hacke selve online læringsplatformen og forårsage en uberegnelig mængde skade.
Den lækkende spand blev roligt trukket offline
Få dage efter at have fundet de udsatte oplysninger, forsøgte forskerne at komme i kontakt med 8Belts for at afsløre overtrædelsen og tilbyde yderligere hjælp. Mens de ventede på et svar, kontaktede de også Amazon og informerede lagerudbyderen om de udsatte oplysninger. I sidste ende modtog de ikke noget svar, men da de kontrollerede et par uger senere, fandt de ud af, at databasen var trukket offline. Selvom VPNMentor offentliggjorde sin rapport for et par dage siden, har 8Belts endnu ikke tilbudt noget, der ligner en officiel erklæring.
Som det er tilfældet med mange lignende lækager, har vi faktisk ikke set noget bevis for misbrug af de udsatte data, men dette skulle aldrig være en grund til at ignorere problemet eller foregive, at det ikke skete. Tværtimod bør opdagelsen tjene som et incitament for 8Belts til at vise sine kunder, at det er fast besluttet på ikke at lade dette ske igen.