کف دست: مک گراو هیل یکی از سه ناشر بزرگ آموزشی در آمریکا است، با یک تجارت فناوری رو به رشد که خدماتی را برای میزبانی و تسهیل کلاس های آنلاین می فروشد. با این حال، همانطور که vpnMentor کشف کرد، مکگرو هیل نمره قبولی در امنیت و شیوههای مناسب opsec دریافت نکرد.
محققان vpnMentor دو سطل S3 سرویس وب آمازون (AWS) پر از دادههای شخصی و حساس را پیدا کردند که بعداً تأیید کردند که این فایلها متعلق به پلتفرم آموزشی آنلاین McGraw Hill هستند. این سطل ها حاوی بیش از 22 ترابایت داده با بیش از 117 میلیون فایل بودند که به صورت عمومی در دسترس هر کسی بود که می دانست کجا باید جستجو کند.
محققان vpnMentor گفتند که یک “نمونه محدود” را برای تایید قانونی بودن نقض داده ها بررسی کردند و مشاهده کردند که سوابق آنلاین حاوی اطلاعات بسیار حساسی مانند نام دانش آموزان، آدرس ایمیل، گزارش عملکرد و نمرات است. این دو سطل همچنین حاوی برنامه های درسی معلمان و مطالب خواندنی دروس و حتی برخی موارد بسیار حساس متعلق به خود مک گراو هیل از جمله کلیدهای دیجیتال خصوصی و کد منبع بود.
با در نظر گرفتن همه موارد، vpnMentor تخمین میزند که دو سطل S3 محافظت نشده – یکی با 12 ترابایت داده و دیگری با 10 ترابایت – اطلاعات بیش از 100000 دانشآموز مدارس و دانشگاههای ایالات متحده و کانادا را فاش میکردند. از آنجایی که تخمین بر اساس نمونه محدود تحلیل شده توسط محققان است، مقیاس واقعی نقض داده ها می تواند بسیار بسیار بزرگتر باشد.
شاید بدترین بخش این حادثه نحوه واکنش مک گرو هیل و مقامات امنیتی به تلاش های ارتباطی vpnMentor باشد.
محققان در 12 ژوئن 2022 سطل های S3 را که در دسترس عموم قرار داشت، کشف کردند و روز بعد سعی کردند با شرکت تماس بگیرند. تلاشهای بیشتری برای تماس در هفتههای بعد انجام شد و محققان همچنین سعی کردند با مقامات US-CERT و آمازون تماس بگیرند.
اولین پاسخ مک گراو هیل در 9 ژوئیه 2022، تقریباً یک ماه پس از اولین پیام، دریافت شد، اما 10 روز دیگر طول کشید تا برخی نتایج به دست آید.
به گفته مدیر ارشد امنیت سایبری مک گراو هیل، تقریباً دو ماه پس از کشف این حادثه، پرونده های حساس در 20 ژوئیه 2022 از سطل های عمومی حذف شدند. vpnMentor در 21 سپتامبر از این موضوع مطلع شد.
تحلیلگران vpnMentor همچنین گفتند که قادر به تعیین اینکه آیا هیچ عامل مخربی قبل از اینکه McGraw Hill فایل های حساس را حذف کند، سطل های ناامن را پیدا کرده است یا خیر، اعلام کردند. با توجه به اینکه میتوان به این فایلها در سال 2015 دسترسی پیدا کرد، و اینکه سطلهای باز S3 یک مسئله امنیتی بسیار شناخته شده در صنعت هستند، شک بسیار کمی در مورد حمله احتمالی دادههای به خطر افتاده علیه دانشآموزان، معلمان، مؤسسات آموزشی و … وجود دارد. خود مک گراو هیل.