نقض مک‌گراو هیل 22 ترابایت اطلاعات حساس دانش‌آموزی را فاش کرد


کف دست: مک گراو هیل یکی از سه ناشر بزرگ آموزشی در آمریکا است، با یک تجارت فناوری رو به رشد که خدماتی را برای میزبانی و تسهیل کلاس های آنلاین می فروشد. با این حال، همانطور که vpnMentor کشف کرد، مک‌گرو هیل نمره قبولی در امنیت و شیوه‌های مناسب opsec دریافت نکرد.

محققان vpnMentor دو سطل S3 سرویس وب آمازون (AWS) پر از داده‌های شخصی و حساس را پیدا کردند که بعداً تأیید کردند که این فایل‌ها متعلق به پلتفرم آموزشی آنلاین McGraw Hill هستند. این سطل ها حاوی بیش از 22 ترابایت داده با بیش از 117 میلیون فایل بودند که به صورت عمومی در دسترس هر کسی بود که می دانست کجا باید جستجو کند.

محققان vpnMentor گفتند که یک “نمونه محدود” را برای تایید قانونی بودن نقض داده ها بررسی کردند و مشاهده کردند که سوابق آنلاین حاوی اطلاعات بسیار حساسی مانند نام دانش آموزان، آدرس ایمیل، گزارش عملکرد و نمرات است. این دو سطل همچنین حاوی برنامه های درسی معلمان و مطالب خواندنی دروس و حتی برخی موارد بسیار حساس متعلق به خود مک گراو هیل از جمله کلیدهای دیجیتال خصوصی و کد منبع بود.

با در نظر گرفتن همه موارد، vpnMentor تخمین می‌زند که دو سطل S3 محافظت نشده – یکی با 12 ترابایت داده و دیگری با 10 ترابایت – اطلاعات بیش از 100000 دانش‌آموز مدارس و دانشگاه‌های ایالات متحده و کانادا را فاش می‌کردند. از آنجایی که تخمین بر اساس نمونه محدود تحلیل شده توسط محققان است، مقیاس واقعی نقض داده ها می تواند بسیار بسیار بزرگتر باشد.

شاید بدترین بخش این حادثه نحوه واکنش مک گرو هیل و مقامات امنیتی به تلاش های ارتباطی vpnMentor باشد.

محققان در 12 ژوئن 2022 سطل های S3 را که در دسترس عموم قرار داشت، کشف کردند و روز بعد سعی کردند با شرکت تماس بگیرند. تلاش‌های بیشتری برای تماس در هفته‌های بعد انجام شد و محققان همچنین سعی کردند با مقامات US-CERT و آمازون تماس بگیرند.

اولین پاسخ مک گراو هیل در 9 ژوئیه 2022، تقریباً یک ماه پس از اولین پیام، دریافت شد، اما 10 روز دیگر طول کشید تا برخی نتایج به دست آید.

به گفته مدیر ارشد امنیت سایبری مک گراو هیل، تقریباً دو ماه پس از کشف این حادثه، پرونده های حساس در 20 ژوئیه 2022 از سطل های عمومی حذف شدند. vpnMentor در 21 سپتامبر از این موضوع مطلع شد.

تحلیلگران vpnMentor همچنین گفتند که قادر به تعیین اینکه آیا هیچ عامل مخربی قبل از اینکه McGraw Hill فایل های حساس را حذف کند، سطل های ناامن را پیدا کرده است یا خیر، اعلام کردند. با توجه به اینکه می‌توان به این فایل‌ها در سال 2015 دسترسی پیدا کرد، و اینکه سطل‌های باز S3 یک مسئله امنیتی بسیار شناخته شده در صنعت هستند، شک بسیار کمی در مورد حمله احتمالی داده‌های به خطر افتاده علیه دانش‌آموزان، معلمان، مؤسسات آموزشی و … وجود دارد. خود مک گراو هیل.



منبع