Нарушение данных на испанской платформе электронного обучения 8Belts затрагивает более 150 000 пользователей по всему миру
8Belts - это испанская онлайн-платформа для обучения, которая специализируется на курсах иностранных языков. Он был основан в 2011 году и частично финансировался Европейским фондом регионального развития ЕС и правительством Испании. Однако, по словам исследователей безопасности Ноама Ротема и Ран Локара, 8Belts используют люди со всего мира, включая Анголу, Австралию, Барбадос, Бельгию, США и Узбекистан. Вы можете быть удивлены, как пара экспертов по безопасности знает так много подробностей о базе пользователей платформы электронного обучения. К сожалению, они нашли информацию в незащищенной базе данных.
Table of Contents
Другой день, другая открытая база данных
Как некоторые из вас могут знать, Rotem и Locar возглавляют команду исследователей, работающих на VPNMentor. Последние несколько месяцев они работали над масштабным веб-картографическим проектом с целью повышения общей безопасности данных. В процессе, однако, они показали, как легко раскрыть гигабайты частной информации.
Поставщики услуг допускают ряд ошибок, и одна из самых распространенных - оставить базу данных, полную личных данных пользователей, в общедоступной корзине Amazon Web Service S3. Они часто забывают защитить пароль паролем, и в процессе этого они непреднамеренно открывают его любому, кто подключен к Интернету. Многие компании сделали это, и в середине апреля исследователи VPNMentor узнали, что 8Belts вступили в клуб.
8Belts помещают производственную базу данных в общедоступное хранилище S3
Найдя базу данных, эксперты увидели, что некоторые записи в ней датируются 2017 годом, но, пытаясь выяснить, кто является владельцем, они увидели, что информация добавляется в режиме реального времени. Другими словами, это была активная производственная база данных, которая собирала информацию о новых пользователях 8Belts. Также было довольно много деталей.
В одном из файлов CVS эксперты увидели записи не менее 150 тысяч пользователей 8Belts. Каждая запись содержала следующие детали:
- имена
- Адрес электронной почты
- Номер телефона
- Страна проживания
- Дата рождения
К сожалению, другие файлы в корзине содержали еще более конфиденциальные данные, включая национальные идентификационные номера студентов и наставников.
Нарушение могло иметь ужасные последствия как для 8Belts, так и для его клиентов.
Вы уже можете видеть, что испанская платформа электронного обучения утекла много информации, позволяющей установить личность, и то, что исследователи назвали «значительным упущением в протоколах безопасности 8Belts», могло привести к множеству случаев кражи личных данных. К сожалению, это было не все.
На своем веб-сайте 8Belts хвастается тем, что проводит курсы иностранных языков для сотрудников ряда крупных, всемирно известных предприятий. Среди его партнеров вы найдете такие компании, как Huawei, Deloitte, PricewaterhouseCoopers, Santander и т. Д. Конечно, личные данные сотрудников этих компаний также были в базе данных 8Belts. Это не только выявило самих сотрудников, но и могло бы подвергнуть риску клиентов платформы обучения.
В дополнение к этому команда VPNMentor обнаружила серверные журналы, которые показали, как работают некоторые из внутренних систем 8Belts. Эта информация могла бы помочь киберпреступникам взломать саму платформу онлайн-обучения, нанеся неисчислимый ущерб.
Протекающее ведро было тихо отключено
Через несколько дней после обнаружения раскрытой информации исследователи попытались связаться с 8Belts, чтобы раскрыть нарушение и предложить дальнейшую помощь. В ожидании ответа они также связались с Amazon и сообщили поставщику хранилища о раскрытой информации. В конце концов, они не получили ответа, но, проверив несколько недель спустя, они обнаружили, что база данных отключена. Хотя VPNMentor опубликовал свой отчет пару дней назад, 8Belts еще не предложил ничего похожего на официальное заявление.
Действительно, как и в случае со многими подобными утечками, мы не видели никаких доказательств какого-либо неправильного использования раскрытых данных, но это никогда не должно быть причиной игнорирования проблемы или притворства, что она не произошла. Напротив, открытие должно послужить стимулом для 8Belts, чтобы показать своим клиентам, что он решил не допустить этого снова.
