Adatsértés a spanyol e-learning platformon. A 8Belts világszerte több mint 150 000 felhasználót érint
A 8Belts egy spanyol online tanulási platform, amely idegen nyelvű tanfolyamokra szakosodott. 2011-ben alapították, részben az EU Európai Regionális Fejlesztési Alapja és a spanyol kormány finanszírozta. Noam Rotem és Ran Locar biztonsági kutatók szerint azonban a 8Belts-t a világ minden tájáról használják, köztük Angolából, Ausztráliából, Barbadosból, Belgiumból, az USA-ból és Üzbegisztánból. Kíváncsi lehet, hogy néhány biztonsági szakértő tudja, hogy sok részlet található az e-learning platform felhasználói adatbázisáról. Sajnos az információkat nem védett adatbázisban találták meg.
Table of Contents
Egy másik nap, egy másik kitett adatbázis
Mint néhányan közületek tudhatják, Rotem és Locar a VPNMentornál dolgozó kutatók csoportját vezetik. Az elmúlt néhány hónapban egy hatalmas web-térképezési projekten dolgoztak, amelynek célja az általános adatbiztonság javítása. A folyamat során azonban megmutatták, mennyire könnyű gigabájtnyi személyes információt felfedni.
A szolgáltatók számos hibát követnek el, és az egyik leggyakoribb az, hogy a felhasználók személyes adatait tartalmazó adatbázist egy nyilvánosan elérhető Amazon Web Service S3 vödörbe hagyják. Gyakran elfelejtik a vödröt jelszóval védeni, és a folyamat során véletlenül kiteszik azt bárki számára, akinek van internetkapcsolata. Nagyon sok cég tette meg, és április közepén a VPNMentor kutatói rájöttek, hogy a 8Belts csatlakozott a klubhoz.
A 8Belts termelési adatbázist helyez egy nyilvános S3 tároló vödörbe
Az adatbázis megtalálása után a szakértők azt tapasztalták, hogy az abban szereplő néhány adat 2017-re nyúlik vissza, ám amikor megpróbálták kitalálni, ki a tulajdonos, látták, hogy az információkat valós időben adják hozzá. Más szavakkal, ez egy aktív termelési adatbázis volt, amely a vadonatúj 8Belts felhasználók részleteit gyűjtötte. Nagyon sok részlet is volt.
Az egyik CVS-fájlban a szakértők nem kevesebb, mint 150 ezer 8Belts-felhasználó nyilvántartását látták. Minden rekord a következő részleteket tartalmazza:
- nevek
- Email cím
- Telefonszám
- A lakóhely szerinti ország
- Születési dátum
Sajnos a vödörben található más fájlok még érzékenyebb adatokat tartalmaztak, ideértve a hallgatók és a mentorok nemzeti azonosító számát is.
A jogsértés szörnyű következményekkel járhatott mind a 8Belts, mind az ügyfelek számára
Már láthatjuk, hogy a spanyol e-tanulási platformon sok személyesen azonosítható információ kiszivárgott, és amit a kutatók "a 8Belts biztonsági protokolljainak jelentős megszűnéseként" jellemeztek, sok személyazonosság-ellopási esethez vezetett. Sajnos ez nem volt minden.
A 8Belts a honlapján arra törekszik, hogy idegen nyelvi tanfolyamokat biztosítson számos nagy, világhírű vállalkozás alkalmazottai számára. Partnerei között olyan cégeket talál, mint a Huawei, a Deloitte, a PricewaterhouseCoopers, a Santander, stb. Természetesen ezeknek a vállalatoknak a munkavállalói személyes adatai is megtalálhatók a 8Belts adatbázisában. Ez nemcsak magukat a dolgozókat tette ki, hanem veszélyeztethette volna a tanulási platform ügyfeleit is.
Ezen felül a VPNMentor csapata kiszolgálói naplókat fedez fel, amelyek feltárták a 8Belts háttérrendszerének néhány működését. Ez az információ segíthette volna a számítógépes bűnözőket, hogy magának az online tanulási platformnak a feltörését okozhassa, kiszámíthatatlan mennyiségű károkat okozva.
A szivárgó vödör csendesen elérhető volt
Néhány nappal a feltárt információk felfedezése után a kutatók megpróbálták felvenni a kapcsolatot a 8Belts-rel, hogy felfedjék a jogsértést és további segítséget nyújtsanak. A válaszra várva az Amazon-nal is kapcsolatba léptek, és a tárolt szolgáltatót tájékoztatták a nyilvánosságra hozott információkról. Végül nem kaptak választ, de néhány hét múlva ellenőrizték, hogy az adatbázis offline állapotba került. Noha a VPNMentor néhány nappal ezelőtt közzétette jelentését, a 8Belts még nem kínálott semmit, ami hivatalos nyilatkozathoz hasonlít.
Valójában, akárcsak sok hasonló szivárgás esetén, nem láttuk a feltárt adatokkal való visszaélés bizonyítékait, ám ennek soha nem szabad oka lenni a probléma figyelmen kívül hagyására vagy annak elmélkedésére, hogy nem történt meg. Éppen ellenkezőleg, a felfedezés ösztönzőként szolgálhat a 8Belts számára, hogy megmutassa ügyfeleinek, hogy elhatározta, hogy nem engedi, hogy ez megismétlődik.