スペインのEラーニングプラットフォーム8Beltsでのデータ侵害は、世界中の150,000人を超えるユーザーに影響を与えています
8Beltsは、外国語コースを専門とするスペイン語のオンライン学習プラットフォームです。それは2011年に設立され、それはEUの欧州地域開発基金とスペイン政府によって部分的に資金を供給されました。しかし、セキュリティ研究者のNoam Rotem氏とRan Locar氏によると、8Beltsは、アンゴラ、オーストラリア、バルバドス、ベルギー、アメリカ、ウズベキスタンなど、世界中の人々によって使用されています。 eラーニングプラットフォームのユーザーベースに関する多くの詳細が、セキュリティの専門家のカップルにどのように認識されているのか疑問に思うかもしれません。残念ながら、彼らは保護されていないデータベースに情報を見つけました。
Table of Contents
別の日、別の公開されたデータベース
ご存知かもしれませんが、RotemとLocarはVPNMentorのために働いている研究者のチームを率いています。過去数か月間、彼らは全体的なデータセキュリティの向上を目的とした大規模なWebマッピングプロジェクトに取り組んできました。ただし、その過程で、ギガバイトの個人情報を公開するのがいかに簡単かを示しました。
サービスプロバイダーは多くのミスを犯しますが、最も一般的なものの1つは、データベースにユーザーの個人データを完全に公開したAmazon Web Service S3バケットに残していることです。彼らはしばしばパスワードでバケットを保護することを忘れており、その過程で彼らはインターネット接続を持っている人にうっかりそれを公開してしまいます。多くの企業がそれを成し遂げ、4月中旬にVPNMentorの研究者たちは8Beltsがクラブに加わったことを発見した。
8Beltsは本番データベースをパブリックS3ストレージバケットに入れます
データベースを見つけると、専門家はデータベース内のレコードの一部が2017年にさかのぼることを確認しましたが、所有者が誰であるかを把握しようとしているときに、情報がリアルタイムで追加されているのを確認しました。つまり、新しい8Beltsユーザーの詳細を収集していたのは、アクティブな本番データベースでした。詳細もかなりたくさんありました。
CVSファイルの1つで、エキスパートは8万人以上の8Beltsユーザーの記録を見ました。各レコードには次の詳細が含まれています。
- お名前
- 電子メールアドレス
- 電話番号
- 居住国
- 生年月日
残念ながら、バケット内の他のファイルには、学生とメンターの両方の国民ID番号など、さらに機密性の高いデータが含まれていました。
違反は8Beltsとその顧客の両方に恐ろしい結果をもたらした可能性があります
スペインのeラーニングプラットフォームが個人を特定できる多くの情報を漏えいしており、研究者が「8Beltsのセキュリティプロトコルの大幅な失効」と述べたことで、多くのID盗難事件が発生した可能性があります。悲しいことに、これだけではありませんでした。
8Beltsのウェブサイトでは、世界的に有名な数多くの企業の従業員に外国語コースを提供することを自慢しています。そのパートナーの中には、Huawei、Deloitte、PricewaterhouseCoopers、Santanderなどの企業があります。もちろん、これらの企業の従業員の個人情報も8Beltsのデータベースにありました。これは従業員自身をさらしただけでなく、学習プラットフォームのクライアントを危険にさらす可能性もありました。
これに加えて、VPNMentorのチームは、8Beltsのバックエンドシステムの一部がどのように機能しているかを明らかにするサーバーログを発見しました。この情報は、サイバー犯罪者がオンライン学習プラットフォーム自体をハッキングするのに役立ち、計り知れないほどの被害をもたらした可能性があります。
漏れやすいバケツは静かにオフラインにされました
暴露された情報を発見してから数日後、研究者たちは8Beltsに連絡して違反を開示し、さらなる支援を提供しようとしました。応答を待つ間、彼らはまたアマゾンに連絡し、公開された情報をストレージプロバイダーに通知しました。結局、彼らは返事をもらわなかったが、数週間後に調べたところ、データベースがオフラインになっていることがわかりました。 VPNMentorは数日前にそのレポートを公開しましたが、8Beltsはまだ公式声明に似たものを何も提供していません。
実際、多くの同様のリークの場合と同様に、公開されたデータの誤用の形跡は見られませんが、これが問題を無視したり、発生しなかったふりをしたりする理由にはなりません。逆に、この発見は、8Beltsがこれを再び起こさないことを決定したことを顧客に示すインセンティブとして役立つはずです。