回覆列表
  • 1 # cnBeta

    在 Noam Rotem 和 Ran Locar 的帶領下,vpnMentro 研究團隊剛剛在一個大型 Web 對映專案中發現了 OneClass 資料庫中的一個嚴重漏洞。

    作為一個遠端教育平臺,其旨在向北美數以百萬計的學生提供學習指導和幫助材料。

    然而新公佈的這個漏洞,卻將北美超過 100 萬學生的私人資料,暴露在了公共網路之中。

    【網站截圖】

    在學生們因為 COVID-19 大流行而被迫在家學習的大環境下,此類教育平臺的重要程度被提升到了新的高度。

    據悉,OneClass 成立於 2010 年,目前總部位於加拿大多倫多。然而對使用者資料的保護失當,導致其成為了被駭客盯上的一座金礦。

    該公司聲稱幫助 60 多萬名學生完成了學業,但實際數字可能要高得多。vpnMentor 預計其錯誤地儲存了超過百萬人的資料,其中包括那些已不再是其會員的使用者。

    雖然 OneClass 表示某些學習資料是免費的,但最有價值的那些,仍需要成為付費會員才能獲得。

    在事件曝光後,vpnMentor 立即與資料庫所有者 OneClass 取得了聯絡。

    作為響應,後者立即對資料庫施加了保護,但聲稱出現問題的只是測試用的伺服器,辯稱儲存在上面的任何資料都與真實使用者無關。

    然而在調查區間,vpnMentor 還是藉助公開可用的資訊,對資料庫中的一小部分記錄進行了驗證。

    透過比對從眾多記錄中獲取的 PII 資料,可知 OneClass 資料庫中的資料,確實與各平臺上的講師、以及其它使用者的社交資料匹配一致。

    基於此,vpnMentor 再次聯絡 OneClass 以溝通相關證據。遺憾的是,該公司沒有給出進一步的答覆。

    OneClass 在官網上寫道,其已採取必要的物理、技術和管理措施,以最高敏感度的標準來保障個人資料的安全。然而 vpnMentor 團隊的發現表明,情況並非如此。

    據悉,該公開資料庫基於 Elasticsearch 框架打造,並託管在一點也不安全的亞馬遜雲服務(AWS)上。

    其中包含了超過 27GB 的資料,總計 890 萬條的記錄,曝光了超過 100 萬 OneClass 使用者的個人身份資訊(PII),比如全名、郵件地址、所在學校、電話號碼、課程註冊詳情等。

    鑑於 OneClass 還提供了面向高中生的資源、並接受 13 歲以上使用者的註冊,因此其中某些資料可能還屬於未成年人。

  • 中秋節和大豐收的關聯?
  • 為什麼城裡面有的老頭老太特別喜歡貪小便宜呢?