西班牙在线学习平台8Belts的数据泄露影响全球15万多用户
8Belts是西班牙语的在线学习平台,专门提供外语课程。它成立于2011年,部分资金由欧盟的欧洲区域发展基金和西班牙政府资助。但是,据安全研究人员Noam Rotem和Ran Locar称,8Belts被全世界的人们所使用,包括安哥拉,澳大利亚,巴巴多斯,比利时,美国和乌兹别克斯坦。您可能想知道几个安全专家如何知道有关电子学习平台用户群的许多详细信息。不幸的是,他们在不受保护的数据库中找到了该信息。
Table of Contents
改天,另一个暴露的数据库
如您所知,Rotem和Locar领导着一个为VPNMentor工作的研究人员团队。在过去的几个月中,他们一直在进行大规模的Web映射项目,旨在提高整体数据安全性。但是,在此过程中,他们证明了公开千兆字节的私人信息是多么容易。
服务提供商犯了许多错误,最常见的错误之一是将数据库中存储着用户的个人数据保存在可公开访问的Amazon Web Service S3存储桶中。他们经常忘记使用密码来保护存储桶,并且在此过程中,他们无意间将其公开给具有Internet连接的任何人。许多公司都这样做了,4月中旬,VPNMentor的研究人员发现8Belts加入了该俱乐部。
8Belts将生产数据库放入公共S3存储桶中
找到数据库后,专家们发现其中的一些记录可以追溯到2017年,但是当他们试图弄清楚所有者是谁时,他们看到了信息是实时添加的。换句话说,这是一个活跃的生产数据库,正在收集全新的8Belts用户的详细信息。还有很多细节。
在一个CVS文件中,专家们看到了不少于15万名8Belts用户的记录。每条记录包含以下详细信息:
- 名字
- 电子邮件地址
- 电话号码
- 居住国家
- 出生日期
不幸的是,存储桶中的其他文件包含了更加敏感的数据,包括学生和辅导员的身份证号码。
违规行为可能对8Belts及其客户造成可怕的后果
您已经知道西班牙的在线学习平台正在泄漏许多个人身份信息,研究人员将其描述为“ 8Belts安全协议中的重大缺陷”可能导致大量身份盗用案件。可悲的是,这还不是全部。
8Belts在其网站上吹嘘要为许多世界知名大型企业的员工提供外语课程。在其合作伙伴中,您会找到诸如华为,德勤,普华永道,桑坦德等公司。当然,这些公司员工的个人详细信息也位于8Belts的数据库中。这不仅暴露了员工本身,还可能使学习平台的客户面临风险。
除此之外,VPNMentor的团队还发现了服务器日志,该日志揭示了8Belts的某些后端系统是如何工作的。这些信息本来可以帮助网络犯罪分子入侵在线学习平台本身,造成不可估量的损失。
漏水的桶被悄悄地脱机
发现公开信息的几天后,研究人员试图与8Belts联系,以披露违规行为并提供进一步的帮助。在等待响应的同时,他们还联系了亚马逊,并告知存储提供商所公开的信息。最后,他们没有收到回复,但是几周后检查时,他们发现数据库已脱机。尽管VPNMentor在几天前发布了其报告,但8Belts尚未提供任何类似于官方声明的内容。
确实,与许多类似的泄漏一样,我们还没有发现任何滥用公开数据的证据,但这绝不应该成为忽略问题或假装未发生问题的原因。相反,该发现应成为8Belts向其客户表明已决定不再发生这种情况的一种激励。