Duomenų pažeidimas Ispanijos el. Mokymosi platformoje „8Belts“ veikia daugiau nei 150 000 vartotojų visame pasaulyje

8Belts Data Breach

„8Belts“ yra ispanų internetinė mokymosi platforma, kuri specializuojasi užsienio kalbų kursuose. Ji buvo įkurta 2011 m., Ją iš dalies finansavo ES Europos regioninės plėtros fondas ir Ispanijos vyriausybė. Tačiau, pasak saugumo tyrinėtojų Noamo Rotemo ir Ran Locaro, „8Belts“ naudoja žmonės iš viso pasaulio, įskaitant Angolą, Australiją, Barbadosą, Belgiją, JAV ir Uzbekistaną. Jums gali būti įdomu, kaip keli saugumo ekspertai žino daug informacijos apie e-mokymosi platformos naudotojų bazę. Deja, informaciją jie rado neapsaugotoje duomenų bazėje.

Kita diena, kita eksponuota duomenų bazė

Kaip kai kurie iš jūsų gali žinoti, Rotemas ir Locar vadovauja tyrėjų komandai, dirbančiai „VPNMentor“. Pastaruosius keletą mėnesių jie dirbo prie masinio interneto žemėlapių projekto, kurio tikslas - pagerinti bendrą duomenų saugumą. Tačiau proceso metu jie parodė, kaip lengva atskleisti gigabaitus privačios informacijos.

Paslaugų teikėjai daro daugybę klaidų, ir viena iš dažniausiai pasitaikančių yra duomenų bazės, kurioje pilna vartotojų asmeninių duomenų, palikimas viešai prieinamame „Amazon Web Service S3“ segmente. Jie dažnai pamiršta apsaugoti kibirą slaptažodžiu, o proceso metu netyčia jį atskleidžia visiems, turintiems interneto ryšį. Daugybė kompanijų tai padarė, o balandžio viduryje „VPNMentor“ tyrėjai išsiaiškino, kad „8Belts“ prisijungė prie klubo.

„8Belts“ įdėjo gamybos duomenų bazę į viešą S3 saugojimo kibirą

Suradę duomenų bazę, ekspertai pamatė, kad kai kurie joje esantys įrašai datuojami 2017 m., Tačiau bandydami išsiaiškinti, kas yra savininkas, jie pamatė, kad informacija buvo pridėta realiu laiku. Kitaip tariant, tai buvo aktyvi gamybos duomenų bazė, kurioje buvo renkama informacija apie visiškai naujus „8Belts“ vartotojus. Taip pat buvo gana daug detalių.

Vienoje iš CVS bylų ekspertai pamatė ne mažiau kaip 150 tūkst. 8Belts vartotojų įrašus. Kiekviename įraše buvo ši informacija:

  • Vardai
  • Elektroninio pašto adresas
  • Telefono numeris
  • Gyvenamoji šalis
  • Gimimo data

Deja, kituose kibirą turinčiuose failuose buvo dar jautresnių duomenų, įskaitant studentų ir mentorių nacionalinius ID numerius.

Pažeidimas galėjo turėti siaubingų padarinių tiek „8Belts“, tiek jo klientams

Jau dabar galite pastebėti, kad iš Ispanijos el. Mokymosi platformos buvo išleista daug asmeniškai identifikuojamos informacijos, ir tai, ką tyrėjai apibūdino kaip „reikšmingą 8Belts saugumo protokolų galiojimo pabaigą“, galėjo sukelti daugybę tapatybės vagysčių atvejų. Deja, tai buvo dar ne viskas.

Savo tinklalapyje „8Belts“ svarsto apie užsienio kalbų kursų organizavimą daugelio didelių, visame pasaulyje žinomų įmonių darbuotojams. Tarp jo partnerių rasite tokias kompanijas kaip „Huawei“, „Deloitte“, „PricewaterhouseCoopers“, „Santander“ ir tt. Be abejo, šių bendrovių darbuotojų asmeniniai duomenys taip pat buvo „8Belts“ duomenų bazėje. Tai ne tik paveikė pačius darbuotojus, bet taip pat galėjo pakenkti mokymosi platformos klientams.

Be viso to, „VPNMentor“ komanda atrado serverių žurnalus, kurie atskleidė, kaip veikia kai kurios „8Belts“ užpakalinės sistemos. Ši informacija galėjo padėti kibernetiniams nusikaltėliams nulaužti pačią internetinę mokymosi platformą ir padaryti nepamatuojamą žalą.

Nesandarus kibiras buvo tyliai ištrauktas neprisijungęs

Po kelių dienų atradę paviešintą informaciją, tyrėjai bandė susisiekti su „8Belts“, kad atskleistų pažeidimą ir pasiūlytų tolesnę pagalbą. Laukdami atsakymo, jie taip pat susisiekė su „Amazon“ ir informavo saugomos informacijos teikėją. Galų gale jie negavo atsakymo, tačiau po kelių savaičių patikrinę sužinojo, kad duomenų bazė buvo neprisijungusi. Nors „VPNMentor“ savo pranešimą paskelbė prieš porą dienų, „8Belts“ dar nepasiūlė nieko panašaus į oficialų pareiškimą.

Iš tiesų, kaip ir daugelio panašių nutekėjimų atveju, nematėme įrodymų, kad būtų netinkamai naudojami atskleisti duomenys, tačiau tai niekada neturėtų būti priežastis ignoruoti problemą ar apsimesti, kad ji neįvyko. Priešingai, atradimas turėtų būti paskata „8Belts“ parodyti savo klientams, kad yra pasiryžęs neleisti, kad tai pasikartotų.

June 4, 2020
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.