Duomenų pažeidimas Ispanijos el. Mokymosi platformoje „8Belts“ veikia daugiau nei 150 000 vartotojų visame pasaulyje
„8Belts“ yra ispanų internetinė mokymosi platforma, kuri specializuojasi užsienio kalbų kursuose. Ji buvo įkurta 2011 m., Ją iš dalies finansavo ES Europos regioninės plėtros fondas ir Ispanijos vyriausybė. Tačiau, pasak saugumo tyrinėtojų Noamo Rotemo ir Ran Locaro, „8Belts“ naudoja žmonės iš viso pasaulio, įskaitant Angolą, Australiją, Barbadosą, Belgiją, JAV ir Uzbekistaną. Jums gali būti įdomu, kaip keli saugumo ekspertai žino daug informacijos apie e-mokymosi platformos naudotojų bazę. Deja, informaciją jie rado neapsaugotoje duomenų bazėje.
Table of Contents
Kita diena, kita eksponuota duomenų bazė
Kaip kai kurie iš jūsų gali žinoti, Rotemas ir Locar vadovauja tyrėjų komandai, dirbančiai „VPNMentor“. Pastaruosius keletą mėnesių jie dirbo prie masinio interneto žemėlapių projekto, kurio tikslas - pagerinti bendrą duomenų saugumą. Tačiau proceso metu jie parodė, kaip lengva atskleisti gigabaitus privačios informacijos.
Paslaugų teikėjai daro daugybę klaidų, ir viena iš dažniausiai pasitaikančių yra duomenų bazės, kurioje pilna vartotojų asmeninių duomenų, palikimas viešai prieinamame „Amazon Web Service S3“ segmente. Jie dažnai pamiršta apsaugoti kibirą slaptažodžiu, o proceso metu netyčia jį atskleidžia visiems, turintiems interneto ryšį. Daugybė kompanijų tai padarė, o balandžio viduryje „VPNMentor“ tyrėjai išsiaiškino, kad „8Belts“ prisijungė prie klubo.
„8Belts“ įdėjo gamybos duomenų bazę į viešą S3 saugojimo kibirą
Suradę duomenų bazę, ekspertai pamatė, kad kai kurie joje esantys įrašai datuojami 2017 m., Tačiau bandydami išsiaiškinti, kas yra savininkas, jie pamatė, kad informacija buvo pridėta realiu laiku. Kitaip tariant, tai buvo aktyvi gamybos duomenų bazė, kurioje buvo renkama informacija apie visiškai naujus „8Belts“ vartotojus. Taip pat buvo gana daug detalių.
Vienoje iš CVS bylų ekspertai pamatė ne mažiau kaip 150 tūkst. 8Belts vartotojų įrašus. Kiekviename įraše buvo ši informacija:
- Vardai
- Elektroninio pašto adresas
- Telefono numeris
- Gyvenamoji šalis
- Gimimo data
Deja, kituose kibirą turinčiuose failuose buvo dar jautresnių duomenų, įskaitant studentų ir mentorių nacionalinius ID numerius.
Pažeidimas galėjo turėti siaubingų padarinių tiek „8Belts“, tiek jo klientams
Jau dabar galite pastebėti, kad iš Ispanijos el. Mokymosi platformos buvo išleista daug asmeniškai identifikuojamos informacijos, ir tai, ką tyrėjai apibūdino kaip „reikšmingą 8Belts saugumo protokolų galiojimo pabaigą“, galėjo sukelti daugybę tapatybės vagysčių atvejų. Deja, tai buvo dar ne viskas.
Savo tinklalapyje „8Belts“ svarsto apie užsienio kalbų kursų organizavimą daugelio didelių, visame pasaulyje žinomų įmonių darbuotojams. Tarp jo partnerių rasite tokias kompanijas kaip „Huawei“, „Deloitte“, „PricewaterhouseCoopers“, „Santander“ ir tt. Be abejo, šių bendrovių darbuotojų asmeniniai duomenys taip pat buvo „8Belts“ duomenų bazėje. Tai ne tik paveikė pačius darbuotojus, bet taip pat galėjo pakenkti mokymosi platformos klientams.
Be viso to, „VPNMentor“ komanda atrado serverių žurnalus, kurie atskleidė, kaip veikia kai kurios „8Belts“ užpakalinės sistemos. Ši informacija galėjo padėti kibernetiniams nusikaltėliams nulaužti pačią internetinę mokymosi platformą ir padaryti nepamatuojamą žalą.
Nesandarus kibiras buvo tyliai ištrauktas neprisijungęs
Po kelių dienų atradę paviešintą informaciją, tyrėjai bandė susisiekti su „8Belts“, kad atskleistų pažeidimą ir pasiūlytų tolesnę pagalbą. Laukdami atsakymo, jie taip pat susisiekė su „Amazon“ ir informavo saugomos informacijos teikėją. Galų gale jie negavo atsakymo, tačiau po kelių savaičių patikrinę sužinojo, kad duomenų bazė buvo neprisijungusi. Nors „VPNMentor“ savo pranešimą paskelbė prieš porą dienų, „8Belts“ dar nepasiūlė nieko panašaus į oficialų pareiškimą.
Iš tiesų, kaip ir daugelio panašių nutekėjimų atveju, nematėme įrodymų, kad būtų netinkamai naudojami atskleisti duomenys, tačiau tai niekada neturėtų būti priežastis ignoruoti problemą ar apsimesti, kad ji neįvyko. Priešingai, atradimas turėtų būti paskata „8Belts“ parodyti savo klientams, kad yra pasiryžęs neleisti, kad tai pasikartotų.