По данным сайта «WizCase», произошла утечка около миллиона записей, содержащих личную информацию онлайн-студентов. Инцидент произошел из-за неправильной настройки облачных сервисов пятью платформами электронного обучения.
Работники «WizCase» обнаружили четыре неправильно сконфигурированных и незашифрованных хранилища AWS S3 и один незащищенный сервер Elasticsearch, с помощью которых скомпрометированы данные бесчисленных онлайн-обучающихся, включая детей.
Персональные данные включают полные имена, домашние и электронные адреса, идентификационные номера, номера телефонов, даты рождения и информацию о курсе и школе.
«WizCase» предупреждает пользователей о возможных последствиях утечки: мошенничестве, фишинг-атаках, слежке и шантаже.
«Поскольку многие пользователи больше не активны на сайтах, они могут и не узнать, что у компаний проводивших обучение все еще есть их персональная информация» - добавили исследователи.
«Тем не менее, все еще возможно, что их данные могут быть использованы в различных видах онлайн-преступлений. Опасность более серьезна тем, что многие затронутые утечками пользователи - это дети и молодые люди».
В число затронутых компаний входят:
- «Escola Digital», бразильский сайт, на котором произошла утечка 15 МБ данных (75 000 записей) актуальностью 2016-2017 гг.
- Южноафриканский сайт «MyTopDog». Утечка более 800 000 записей через неправильно настроенное хранилище S3, включая документы связанные с их бизнес-партнером «Vodacom School».
- Казахстанский «Okoo» потерял 7200 записей через сервер Elasticsearch.
- Американские сайты «Square Panda» (15 000 записей) и «Playground Sessions» (4100 записей).
«WizCase» призывает пользователей, данные которых могли быть скомпрометированы, регулярно проверять наличие необычной активности своих учетных записей, проявлять особую осторожность при получении нежелательных электронных писем и никогда не выдавать персональную информацию по телефону.
Подобные инциденты широко распространены практически во всех отраслях, но в последнее время сектор онлайн-обучения переживает пик активности благодаря закрытию школ, связанного с эпидемией COVID-19 в большинстве стран мира.
Ранее в этом месяце исследователи «WizCase» также выявили пять приложений для знакомств в США и Азии, которые скомпрометировали миллионы записей клиентов через неправильно настроенные серверы Elasticsearch, базы данных MongoDB и корзины AWS.
Перевод сделан со статьи https://www.infosecurity-magazine.com/
