Et datainnbrudd på den spanske e-læringsplattformen 8 Belter påvirker mer enn 150 000 brukere over hele verden
8Belts er en spansk online læringsplattform som spesialiserer seg på fremmedspråkkurs. Det ble grunnlagt i 2011, og det ble delvis finansiert av EUs europeiske regionale utviklingsfond og den spanske regjeringen. I følge sikkerhetsforskerne Noam Rotem og Ran Locar brukes 8Belts imidlertid av mennesker fra hele verden, inkludert Angola, Australia, Barbados, Belgia, USA og Usbekistan. Du lurer kanskje på hvordan et par sikkerhetseksperter vet at mange detaljer om brukerbasen til en e-læringsplattform. Dessverre fant de informasjonen i en ubeskyttet database.
Table of Contents
Nok en dag, en annen eksponert database
Som noen av dere kanskje vet, leder Rotem og Locar et team av forskere som jobber for VPNMentor. De siste månedene har de jobbet med et massivt nettkartleggingsprosjekt med mål om å forbedre den generelle datasikkerheten. I prosessen har de imidlertid vist hvor enkelt det er å eksponere gigabyte med privat informasjon.
Tjenesteleverandører gjør en rekke feil, og en av de vanligste er å legge igjen en database full av brukernes personopplysninger i en offentlig tilgjengelig Amazon Web Service S3-bøtte. De glemmer ofte å beskytte bøtta med et passord, og i prosessen utsetter de utilsiktet for alle med internettforbindelse. Mange selskaper har gjort det, og i midten av april fant VPNMentors forskere ut at 8Belts hadde meldt seg inn i klubben.
8Belts satte en produksjonsdatabase i en offentlig S3-lagringsbøtte
Da de fant databasen, så ekspertene at noen av postene i den daterte seg tilbake til 2017, men mens de prøvde å finne ut hvem eieren er, så de at informasjon ble lagt til i sanntid. Det var med andre ord en aktiv produksjonsdatabase som samlet inn detaljene til helt nye 8Belts-brukere. Det var ganske mange detaljer også.
I en av CVS-filene så ekspertene registreringene til ikke mindre enn 150 000 brukere av 8 Belter. Hver post inneholdt følgende detaljer:
- navnene
- Epostadresse
- Telefonnummer
- Bostedsland
- Fødselsdato
Dessverre inneholdt andre filer i bøtta enda mer sensitive data, inkludert fødselsnummer for både studenter og mentorer.
Bruddet kunne ha hatt forferdelige konsekvenser for både 8Belts og dets kunder
Du kan allerede se at den spanske e-læringsplattformen lekket mye personlig identifiserbar informasjon, og det forskerne beskrev som "et betydelig bortfall i 8Belts 'sikkerhetsprotokoller" kunne ha resultert i mange tilfeller av identitetstyveri. Dessverre var ikke dette alt.
På hjemmesiden sin, briller 8Belts om å tilby fremmedspråkkurs til de ansatte i en rekke store, verdenskjente virksomheter. Blant partnerne finner du selskaper som Huawei, Deloitte, PricewaterhouseCoopers, Santander, etc. At de personlige detaljene til ansatte i disse selskapene også var i 8Belts 'database. Dette utsatte ikke bare de ansatte selv, men det kunne også ha satt læringsplattformens kunder i fare.
I tillegg til dette oppdaget teamet av VPNMentor serverlogger som avslørte hvordan noen av 8Belts 'backend-systemer fungerer. Denne informasjonen kunne ha hjulpet cyberkriminelle med å hacke selve online læringsplattformen og forårsake en uberegnelig mengde skade.
Den lekke bøtta ble rolig trukket frakoblet
Noen dager etter å ha oppdaget den utsatte informasjonen, prøvde forskerne å komme i kontakt med 8Belts for å avsløre bruddet og tilby ytterligere hjelp. Mens de ventet på svar, kontaktet de også Amazon og informerte lagringsleverandøren om den utsatte informasjonen. Til slutt fikk de ikke svar, men da de sjekket noen uker senere, fant de ut at databasen hadde blitt trukket frakoblet. Selv om VPNMentor publiserte rapporten for et par dager siden, har 8Belts ennå ikke tilbudt noe som ligner en offisiell uttalelse.
Som det er tilfellet med mange lignende lekkasjer, har vi ikke sett noen bevis for noe misbruk av de utsatte dataene, men dette skal aldri være en grunn til å ignorere problemet eller late som om det ikke skjedde. Tvert imot, funnet skal tjene som et insentiv for 8Belts for å vise kundene at de er fast bestemt på å ikke la dette skje igjen.
