Η παραβίαση δεδομένων στην ισπανική πλατφόρμα E-Learning 8Belts επηρεάζει περισσότερους από 150.000 χρήστες παγκοσμίως
Το 8Belts είναι μια ισπανική διαδικτυακή πλατφόρμα εκμάθησης που ειδικεύεται σε μαθήματα ξένων γλωσσών. Ιδρύθηκε το 2011 και χρηματοδοτήθηκε εν μέρει από το Ευρωπαϊκό Ταμείο Περιφερειακής Ανάπτυξης της ΕΕ και την ισπανική κυβέρνηση. Σύμφωνα με τους ερευνητές ασφαλείας Noam Rotem και Ran Locar, ωστόσο, το 8Belts χρησιμοποιείται από άτομα από όλο τον κόσμο, συμπεριλαμβανομένων της Αγκόλα, της Αυστραλίας, των Μπαρμπάντος, του Βελγίου, των ΗΠΑ και του Ουζμπεκιστάν. Ίσως αναρωτιέστε πώς μερικοί εμπειρογνώμονες ασφαλείας γνωρίζουν ότι πολλές λεπτομέρειες σχετικά με τη βάση δεδομένων μιας πλατφόρμας ηλεκτρονικής μάθησης. Δυστυχώς, βρήκαν τις πληροφορίες σε μια μη προστατευμένη βάση δεδομένων.
Table of Contents
Μια άλλη μέρα, μια άλλη εκτεθειμένη βάση δεδομένων
Όπως ίσως γνωρίζετε, ορισμένοι από τους Rotem και Locar διευθύνουν μια ομάδα ερευνητών που εργάζονται για το VPNMentor. Τους τελευταίους μήνες, εργάζονται σε ένα τεράστιο έργο χαρτογράφησης Ιστού με στόχο τη βελτίωση της συνολικής ασφάλειας των δεδομένων. Στη διαδικασία, ωστόσο, έχουν δείξει πόσο εύκολο είναι να εκθέσετε gigabytes ιδιωτικών πληροφοριών.
Οι πάροχοι υπηρεσιών κάνουν ορισμένα λάθη και ένα από τα πιο συνηθισμένα είναι να αφήσετε μια βάση δεδομένων γεμάτη με προσωπικά δεδομένα των χρηστών σε έναν κοινόχρηστο κάδο Amazon Web Service S3. Συχνά ξεχνούν να προστατεύουν τον κάδο με κωδικό πρόσβασης και κατά τη διαδικασία, τον εκθέτουν κατά λάθος σε οποιονδήποτε έχει σύνδεση στο Διαδίκτυο. Πολλές εταιρείες το έχουν κάνει, και στα μέσα Απριλίου, οι ερευνητές του VPNMentor ανακάλυψαν ότι η 8Belts είχε ενταχθεί στο σύλλογο.
Η 8Belts έβαλε μια βάση δεδομένων παραγωγής σε έναν δημόσιο κάδο αποθήκευσης S3
Αφού βρήκαν τη βάση δεδομένων, οι ειδικοί είδαν ότι μερικά από τα αρχεία σε αυτήν χρονολογούνται από το 2017, αλλά ενώ προσπαθούσαν να καταλάβουν ποιος είναι ο ιδιοκτήτης, είδαν ότι οι πληροφορίες προστέθηκαν σε πραγματικό χρόνο. Με άλλα λόγια, ήταν μια ενεργή βάση δεδομένων παραγωγής που συλλέγει τις λεπτομέρειες των ολοκαίνουργιων χρηστών 8Belts. Υπήρχαν επίσης πολλές λεπτομέρειες.
Σε ένα από τα αρχεία CVS, οι ειδικοί είδαν τα αρχεία τουλάχιστον 150 χιλιάδων χρηστών 8Belts. Κάθε εγγραφή περιείχε τις ακόλουθες λεπτομέρειες:
- Ονόματα
- Διεύθυνση ηλεκτρονικού ταχυδρομείου
- Τηλεφωνικό νούμερο
- Χώρα κατοικίας
- Ημερομηνια γεννησης
Δυστυχώς, άλλα αρχεία στον κάδο περιείχαν ακόμη πιο ευαίσθητα δεδομένα, συμπεριλαμβανομένων των εθνικών αριθμών ταυτότητας τόσο των μαθητών όσο και των μέντορων.
Η παραβίαση θα μπορούσε να είχε τρομερές συνέπειες τόσο για την 8Belts όσο και για τους πελάτες της
Μπορείτε ήδη να δείτε ότι η ισπανική πλατφόρμα ηλεκτρονικής μάθησης διαρρέει πολλές προσωπικά αναγνωρίσιμες πληροφορίες και αυτό που οι ερευνητές περιέγραψαν ως "ένα σημαντικό σφάλμα στα πρωτόκολλα ασφαλείας του 8Belts" θα μπορούσε να είχε ως αποτέλεσμα πολλές υποθέσεις κλοπής ταυτότητας. Δυστυχώς, δεν ήταν αυτό μόνο.
Στην ιστοσελίδα της, η 8Belts καυχιέται για την παροχή μαθημάτων ξένων γλωσσών στους υπαλλήλους μιας σειράς μεγάλων, παγκοσμίου φήμης επιχειρήσεων. Μεταξύ των συνεργατών της, θα βρείτε εταιρείες όπως Huawei, Deloitte, PricewaterhouseCoopers, Santander, κ.λπ. Ασφαλώς, τα προσωπικά στοιχεία των υπαλλήλων αυτών των εταιρειών ήταν επίσης στη βάση δεδομένων του 8Belts. Αυτό όχι μόνο εξέθεσε τους ίδιους τους υπαλλήλους, αλλά θα μπορούσε επίσης να θέσει τους πελάτες της πλατφόρμας μάθησης σε κίνδυνο.
Εκτός από αυτό, η ομάδα του VPNMentor ανακάλυψε αρχεία καταγραφής διακομιστών που αποκάλυψαν πώς λειτουργούν ορισμένα από τα συστήματα backend του 8Belts. Αυτές οι πληροφορίες θα μπορούσαν να βοηθήσουν τους εγκληματίες στον κυβερνοχώρο να χαράξουν την ίδια την διαδικτυακή πλατφόρμα εκμάθησης, προκαλώντας μια αμέτρητη ζημιά.
Ο διαρρεύτης κάδος τραβήχτηκε ήσυχα εκτός σύνδεσης
Λίγες μέρες μετά την ανακάλυψη των εκτεθειμένων πληροφοριών, οι ερευνητές προσπάθησαν να έρθουν σε επαφή με το 8Belts για να αποκαλύψουν την παραβίαση και να προσφέρουν περαιτέρω βοήθεια. Περιμένοντας μια απάντηση, ήρθαν επίσης σε επαφή με την Amazon και ενημέρωσαν τον πάροχο αποθήκευσης για τις εκτεθειμένες πληροφορίες. Στο τέλος, δεν έλαβαν απάντηση, αλλά όταν έλεγξαν μερικές εβδομάδες αργότερα, ανακάλυψαν ότι η βάση δεδομένων είχε τραβηχτεί εκτός σύνδεσης. Παρόλο που το VPNMentor δημοσίευσε την έκθεσή του πριν από μερικές ημέρες, το 8Belts δεν έχει ακόμη προσφέρει κάτι που μοιάζει με επίσημη δήλωση.
Πράγματι, όπως συμβαίνει με πολλές παρόμοιες διαρροές, δεν έχουμε δει καμία ένδειξη κακής χρήσης των εκτεθειμένων δεδομένων, αλλά αυτό δεν πρέπει ποτέ να είναι λόγος για να αγνοήσουμε το πρόβλημα ή να προσποιούμαστε ότι δεν συνέβη. Αντίθετα, η ανακάλυψη θα πρέπει να χρησιμεύσει ως κίνητρο για το 8Belts να δείξει στους πελάτες του ότι είναι αποφασισμένο να μην αφήσει αυτό να συμβεί ξανά.
