在 Noam Rotem 和 Ran Locar 的帶領下,vpnMentro 研究團隊剛剛在一個大型 Web 對映專案中發現了 OneClass 資料庫中的一個嚴重漏洞。
作為一個遠端教育平臺,其旨在向北美數以百萬計的學生提供學習指導和幫助材料。
然而新公佈的這個漏洞,卻將北美超過 100 萬學生的私人資料,暴露在了公共網路之中。
【網站截圖】
在學生們因為 COVID-19 大流行而被迫在家學習的大環境下,此類教育平臺的重要程度被提升到了新的高度。
據悉,OneClass 成立於 2010 年,目前總部位於加拿大多倫多。然而對使用者資料的保護失當,導致其成為了被駭客盯上的一座金礦。
該公司聲稱幫助 60 多萬名學生完成了學業,但實際數字可能要高得多。vpnMentor 預計其錯誤地儲存了超過百萬人的資料,其中包括那些已不再是其會員的使用者。
雖然 OneClass 表示某些學習資料是免費的,但最有價值的那些,仍需要成為付費會員才能獲得。
在事件曝光後,vpnMentor 立即與資料庫所有者 OneClass 取得了聯絡。
作為響應,後者立即對資料庫施加了保護,但聲稱出現問題的只是測試用的伺服器,辯稱儲存在上面的任何資料都與真實使用者無關。
然而在調查區間,vpnMentor 還是藉助公開可用的資訊,對資料庫中的一小部分記錄進行了驗證。
透過比對從眾多記錄中獲取的 PII 資料,可知 OneClass 資料庫中的資料,確實與各平臺上的講師、以及其它使用者的社交資料匹配一致。
基於此,vpnMentor 再次聯絡 OneClass 以溝通相關證據。遺憾的是,該公司沒有給出進一步的答覆。
OneClass 在官網上寫道,其已採取必要的物理、技術和管理措施,以最高敏感度的標準來保障個人資料的安全。然而 vpnMentor 團隊的發現表明,情況並非如此。
據悉,該公開資料庫基於 Elasticsearch 框架打造,並託管在一點也不安全的亞馬遜雲服務(AWS)上。
其中包含了超過 27GB 的資料,總計 890 萬條的記錄,曝光了超過 100 萬 OneClass 使用者的個人身份資訊(PII),比如全名、郵件地址、所在學校、電話號碼、課程註冊詳情等。
鑑於 OneClass 還提供了面向高中生的資源、並接受 13 歲以上使用者的註冊,因此其中某些資料可能還屬於未成年人。
在 Noam Rotem 和 Ran Locar 的帶領下,vpnMentro 研究團隊剛剛在一個大型 Web 對映專案中發現了 OneClass 資料庫中的一個嚴重漏洞。
作為一個遠端教育平臺,其旨在向北美數以百萬計的學生提供學習指導和幫助材料。
然而新公佈的這個漏洞,卻將北美超過 100 萬學生的私人資料,暴露在了公共網路之中。
【網站截圖】
在學生們因為 COVID-19 大流行而被迫在家學習的大環境下,此類教育平臺的重要程度被提升到了新的高度。
據悉,OneClass 成立於 2010 年,目前總部位於加拿大多倫多。然而對使用者資料的保護失當,導致其成為了被駭客盯上的一座金礦。
該公司聲稱幫助 60 多萬名學生完成了學業,但實際數字可能要高得多。vpnMentor 預計其錯誤地儲存了超過百萬人的資料,其中包括那些已不再是其會員的使用者。
雖然 OneClass 表示某些學習資料是免費的,但最有價值的那些,仍需要成為付費會員才能獲得。
在事件曝光後,vpnMentor 立即與資料庫所有者 OneClass 取得了聯絡。
作為響應,後者立即對資料庫施加了保護,但聲稱出現問題的只是測試用的伺服器,辯稱儲存在上面的任何資料都與真實使用者無關。
然而在調查區間,vpnMentor 還是藉助公開可用的資訊,對資料庫中的一小部分記錄進行了驗證。
透過比對從眾多記錄中獲取的 PII 資料,可知 OneClass 資料庫中的資料,確實與各平臺上的講師、以及其它使用者的社交資料匹配一致。
基於此,vpnMentor 再次聯絡 OneClass 以溝通相關證據。遺憾的是,該公司沒有給出進一步的答覆。
OneClass 在官網上寫道,其已採取必要的物理、技術和管理措施,以最高敏感度的標準來保障個人資料的安全。然而 vpnMentor 團隊的發現表明,情況並非如此。
據悉,該公開資料庫基於 Elasticsearch 框架打造,並託管在一點也不安全的亞馬遜雲服務(AWS)上。
其中包含了超過 27GB 的資料,總計 890 萬條的記錄,曝光了超過 100 萬 OneClass 使用者的個人身份資訊(PII),比如全名、郵件地址、所在學校、電話號碼、課程註冊詳情等。
鑑於 OneClass 還提供了面向高中生的資源、並接受 13 歲以上使用者的註冊,因此其中某些資料可能還屬於未成年人。