Ett dataintrång på spansk plattform för e-lärande 8 Bälten påverkar mer än 150 000 användare över hela världen
8Belts är en spansk online-inlärningsplattform som är specialiserad på främmande språkkurser. Det grundades 2011 och finansierades delvis av EU: s Europeiska regionala utvecklingsfond och den spanska regeringen. Enligt säkerhetsforskarna Noam Rotem och Ran Locar används emellertid 8Belts av människor från hela världen, inklusive Angola, Australien, Barbados, Belgien, USA och Uzbekistan. Du kanske undrar hur ett par säkerhetsexperter vet att många detaljer om användarbasen för en e-learningplattform. Tyvärr hittade de informationen i en oskyddad databas.
Table of Contents
En annan dag, en annan exponerad databas
Som vissa av er kanske leder Rotem och Locar ett team av forskare som arbetar för VPNMentor. De senaste månaderna har de arbetat med ett massivt webbkartläggningsprojekt med målet att förbättra den allmänna datasäkerheten. I processen har de emellertid visat hur lätt det är att exponera gigabyte privat information.
Tjänsteleverantörer gör ett antal misstag, och ett av de vanligaste är att lämna en databas full av användares personuppgifter i en offentligt tillgänglig Amazon Web Service S3-hink. De glömmer ofta att skydda skopan med ett lösenord, och i processen utsätter de oavsiktligt för alla med internetuppkoppling. Många företag har gjort det, och i mitten av april fann VPNMentors forskare att 8Belts hade gått med i klubben.
8Belts sätter en produktionsdatabas i en offentlig S3-lagringshink
När de hittade databasen såg experterna att några av uppgifterna i den daterades tillbaka till 2017, men medan de försökte ta reda på vem ägaren är, såg de att information lades till i realtid. Med andra ord var det en aktiv produktionsdatabas som samlade in detaljerna för helt nya 8Belts-användare. Det fanns en hel del detaljer också.
I en av CVS-filerna såg experterna registreringarna av inte mindre än 150 tusen 8Belts-användare. Varje post innehöll följande detaljer:
- namn
- E-postadress
- Telefonnummer
- Land där du bor
- Födelsedatum
Tyvärr innehöll andra filer i hinken ännu mer känslig information, inklusive nationella ID-nummer för både studenter och mentorer.
Överträdelsen kunde ha haft fruktansvärda konsekvenser för både 8Belts och dess kunder
Du kan redan se att den spanska e-learningplattformen läckte mycket personlig information och vad forskarna beskrev som "ett betydande fall i 8Belts säkerhetsprotokoll" kunde ha resulterat i många fall av identitetsstöld. Tyvärr var detta inte allt.
På sin webbplats slår 8Belts sig om att tillhandahålla utländska språkkurser till anställda i ett antal stora, världsberömda företag. Bland dess partners hittar du företag som Huawei, Deloitte, PricewaterhouseCoopers, Santander, etc. Visst nog, de personliga detaljerna för anställda i dessa företag fanns också i 8Belts databas. Detta utsatte inte bara de anställda själva, utan det kunde också ha satt lärplattformens kunder i riskzonen.
Utöver detta upptäckte VPNMentors team serverloggar som avslöjade hur några av 8Belts backend-system fungerar. Denna information kunde ha hjälpt cyberkriminella hacka själva online-inlärningsplattformen och orsakat en oberäknelig mängd skada.
Den läckande hinken drogs tyst offline
Några dagar efter att de upptäckte den exponerade informationen försökte forskarna att komma i kontakt med 8Belts för att avslöja överträdelsen och erbjuda ytterligare hjälp. I väntan på svar kontaktade de också Amazon och informerade lagringsleverantören om den exponerade informationen. I slutändan fick de inget svar, men när de kontrollerade några veckor senare fick de reda på att databasen hade dragits offline. Även om VPNMentor publicerade sin rapport för ett par dagar sedan, har 8Belts ännu inte erbjudit något som liknar ett officiellt uttalande.
I likhet med många liknande läckor har vi faktiskt inte sett några bevis för missbruk av de utsatta uppgifterna, men det borde aldrig vara ett skäl för att ignorera problemet eller låtsas att det inte skedde. Tvärtom, upptäckten borde fungera som ett incitament för 8Belts att visa sina kunder att det är fast beslutet att inte låta detta hända igen.
