西班牙在線學習平台8Belts的數據洩露影響全球15萬多用戶
![8Belts Data Breach](https://www.cyclonis.com/images/2020/06/8belts-data-breach-765x383.jpg)
8Belts是西班牙語的在線學習平台,專門提供外語課程。它成立於2011年,部分資金由歐盟的歐洲區域發展基金和西班牙政府資助。但是,據安全研究人員Noam Rotem和Ran Locar稱,8Belts被全世界的人們所使用,包括安哥拉,澳大利亞,巴巴多斯,比利時,美國和烏茲別克斯坦。您可能想知道幾個安全專家如何知道有關電子學習平台用戶群的許多詳細信息。不幸的是,他們在不受保護的數據庫中找到了該信息。
Table of Contents
改天,另一個暴露的數據庫
你們中有些人可能知道,Rotem和Locar領導著一個為VPNMentor工作的研究人員團隊。在過去的幾個月中,他們一直在進行大規模的Web映射項目,旨在提高整體數據安全性。但是,在此過程中,他們表明了公開千兆字節的私人信息有多麼容易。
服務提供商犯了許多錯誤,最常見的錯誤之一是將數據庫中存儲著用戶的個人數據保存在可公開訪問的Amazon Web Service S3存儲桶中。他們經常忘記使用密碼來保護存儲桶,並且在此過程中,他們無意間將其公開給具有Internet連接的任何人。許多公司都這樣做了,4月中旬,VPNMentor的研究人員發現8Belts加入了該俱樂部。
8Belts將生產數據庫放入公共S3存儲桶中
找到數據庫後,專家們發現其中的某些記錄可以追溯到2017年,但是當他們試圖弄清楚所有者是誰時,他們看到了信息是實時添加的。換句話說,這是一個活躍的生產數據庫,正在收集全新的8Belts用戶的詳細信息。還有很多細節。
在一個CVS文件中,專家們看到了不少於15萬名8Belts用戶的記錄。每條記錄包含以下詳細信息:
- 名字
- 電子郵件地址
- 電話號碼
- 居住國家
- 出生日期
不幸的是,存儲桶中的其他文件包含了更加敏感的數據,包括學生和輔導員的身份證號碼。
違規行為可能對8Belts及其客戶造成可怕的後果
您已經知道西班牙的電子學習平台正在洩漏許多個人身份信息,研究人員稱其“ 8Belts安全協議中的重大缺陷”可能導致大量身份盜用案件。可悲的是,這還不是全部。
8Belts在其網站上吹噓要為許多世界知名大型企業的員工提供外語課程。在其合作夥伴中,您會找到諸如華為,德勤,普華永道,桑坦德等公司。當然,這些公司員工的個人詳細信息也位於8Belts的數據庫中。這不僅暴露了員工本身,還可能使學習平台的客戶面臨風險。
除此之外,VPNMentor的團隊還發現了服務器日誌,該日誌揭示了8Belts的某些後端系統是如何工作的。這些信息本來可以幫助網絡犯罪分子入侵在線學習平臺本身,造成不可估量的損失。
漏水的桶被悄悄地脫機
發現公開信息的幾天后,研究人員試圖與8Belts聯繫以披露違規行為並提供進一步的幫助。在等待響應的同時,他們還聯繫了亞馬遜,並告知存儲提供商所公開的信息。最後,他們沒有收到答复,但是幾週後檢查時,他們發現數據庫已脫機。儘管VPNMentor在幾天前發布了其報告,但8Belts尚未提供任何類似於官方聲明的內容。
確實,與許多類似的洩漏一樣,我們還沒有發現任何濫用公開數據的證據,但這絕不應該成為忽略問題或假裝未發生問題的原因。相反,這一發現應成為8Belts向其客戶表明已決心不再發生這種情況的一種激勵。