Naruszenie danych na hiszpańskiej platformie e-learningowej 8 pasów dotyka ponad 150 000 użytkowników na całym świecie
8Belts to hiszpańska internetowa platforma edukacyjna specjalizująca się w kursach języków obcych. Został założony w 2011 roku i był częściowo finansowany przez Europejski Fundusz Rozwoju Regionalnego UE i rząd Hiszpanii. Według naukowców zajmujących się bezpieczeństwem Noam Rotem i Ran Locar, 8 Beltów jest jednak używanych przez ludzi z całego świata, w tym z Angoli, Australii, Barbadosu, Belgii, USA i Uzbekistanu. Być może zastanawiasz się, w jaki sposób kilku ekspertów ds. Bezpieczeństwa wie tak wiele szczegółów na temat bazy użytkowników platformy e-learningowej. Niestety znaleźli informacje w niechronionej bazie danych.
Table of Contents
Kolejny dzień, kolejna odsłonięta baza danych
Jak niektórzy z was mogą wiedzieć, Rotem i Locar kierują zespołem naukowców pracujących dla VPNMentor. Przez kilka ostatnich miesięcy pracowali nad ogromnym projektem mapowania sieci w celu poprawy ogólnego bezpieczeństwa danych. W trakcie procesu pokazali jednak, jak łatwo można ujawnić gigabajty prywatnych informacji.
Dostawcy usług popełniają wiele błędów, a jednym z najczęstszych jest pozostawienie bazy danych pełnej danych osobowych użytkowników w publicznie dostępnym segmencie Amazon Web Service S3. Często zapominają zabezpieczyć wiadro hasłem, a tym samym nieumyślnie udostępniają je każdemu, kto ma połączenie z Internetem. Dokonało tego wiele firm, a w połowie kwietnia badacze VPNMentor odkryli, że do klubu dołączyło 8 Beltów.
8Belts umieściło produkcyjną bazę danych w publicznym segmencie pamięci S3
Po znalezieniu bazy danych eksperci zauważyli, że niektóre z jej zapisów pochodzą z 2017 r., Ale kiedy próbowali dowiedzieć się, kto jest właścicielem, zauważyli, że informacje były dodawane w czasie rzeczywistym. Innymi słowy, była to aktywna produkcyjna baza danych, która gromadziła dane o nowych użytkownikach 8-pasmowych. Było też sporo szczegółów.
W jednym z plików CVS eksperci widzieli rekordy nie mniej niż 150 tysięcy użytkowników 8-pasmowych. Każdy rekord zawierał następujące szczegóły:
- Nazwy
- Adres e-mail
- Numer telefonu
- Kraj zamieszkania
- Data urodzenia
Niestety inne pliki w segmencie zawierały jeszcze bardziej wrażliwe dane, w tym krajowe numery identyfikacyjne zarówno studentów, jak i mentorów.
Naruszenie mogło mieć przerażające konsekwencje zarówno dla 8Belts, jak i dla klientów
Widać już, że hiszpańska platforma e-learningowa przeciekała wiele informacji umożliwiających identyfikację użytkownika, a to, co naukowcy opisali jako „znaczny brak w protokołach bezpieczeństwa 8Belts”, mogło doprowadzić do wielu przypadków kradzieży tożsamości. Niestety, to nie wszystko.
Na swojej stronie internetowej 8Belts chwali się oferowaniem kursów języków obcych pracownikom wielu dużych, światowej sławy firm. Wśród partnerów znajdziesz takie firmy, jak Huawei, Deloitte, PricewaterhouseCoopers, Santander itp. Oczywiście dane osobowe pracowników tych firm znajdowały się również w bazie danych 8Belts. To nie tylko ujawniło samych pracowników, ale mogło także narazić klientów platformy edukacyjnej na ryzyko.
Ponadto zespół VPNMentor odkrył dzienniki serwerów, które ujawniły działanie niektórych systemów zaplecza 8Belts. Informacje te mogły pomóc cyberprzestępcom włamać się do samej platformy edukacyjnej online, powodując nieobliczalną ilość szkód.
Nieszczelne wiadro zostało cicho odłączone
Kilka dni po odkryciu ujawnionych informacji naukowcy próbowali skontaktować się z 8Belts, aby ujawnić naruszenie i zaoferować dalszą pomoc. W oczekiwaniu na odpowiedź skontaktowali się również z Amazonem i poinformowali dostawcę pamięci o ujawnionych informacjach. W końcu nie otrzymali odpowiedzi, ale kiedy sprawdzili kilka tygodni później, dowiedzieli się, że baza danych została odłączona. Chociaż VPNMentor opublikował swój raport kilka dni temu, 8Belts ma jeszcze do zaoferowania wszystko, co przypomina oficjalne oświadczenie.
Rzeczywiście, podobnie jak w przypadku wielu podobnych wycieków, nie widzieliśmy żadnych dowodów na niewłaściwe wykorzystanie ujawnionych danych, ale nigdy nie powinno to być powodem do ignorowania problemu lub udawania, że tak się nie stało. Przeciwnie, odkrycie powinno stanowić zachętę dla 8Belts do pokazania swoim klientom, że jest zdeterminowany, aby nie dopuścić do tego ponownie.
