Eine K12.com-Datenbank mit fast 7 Millionen Studentenakten wurde offen gelassen, sodass jeder mit einer Internetverbindung darauf zugreifen konnte. Am 25. Juni 2023 deckten Comparitech und der Sicherheitsforscher Bob Diachenko die Entdeckung auf. Das Datenleck betraf eine öffentlich gemachte MongoDB-Instanz.
K12.com bietet Online-Bildungsprogramme für Studenten. Diese Exposition betraf das A + nyWhere Learning System (A + LS), das von mehr als 1.100 Schulbezirken genutzt wird.
Welche Informationen enthüllt wurden?
Die exponierte Datenbank enthielt fast 7 Millionen (6.988.504) Aufzeichnungen mit Studentendaten. Die Informationen in jedem Datensatz enthalten:
- Primäre persönliche E-Mail-Adresse
- Vollständiger Name
- Geschlecht
- Alter
- Geburtstag
- Schulname
- Authentifizierungsschlüssel für den Zugriff auf ALS-Konten und -Präsentationen
- Sonstige interne Daten
In diesem Fall wurde eine alte Version von MongoDB (2.6.4) verwendet. Diese Version der Datenbank wird seit Oktober 2016 nicht mehr unterstützt. Außerdem wurde das Remote Desktop Protocol (RDP) aktiviert, aber nicht gesichert.
Infolgedessen wurde die Datenbank von den Suchmaschinen Shodan und BinaryEdge indiziert. Dies bedeutet, dass die in der Datenbank enthaltenen Datensätze für die Öffentlichkeit sichtbar waren.
Wir haben die indizierten Daten am 25. Juni entdeckt, aber sie waren seit dem 23. Juni öffentlich und die Datenbank wurde erst am 1. Juli geschlossen. Insgesamt dauerte das Datenleck also etwas mehr als eine Woche. Es ist unklar, ob während der Aufdeckung böswillige Personen auf die Daten zugegriffen haben.
Diachenko konnte mit Hilfe von Dissent Doe, dem Administrator von Databreaches.net, mit K12-Vertretern in Kontakt treten. K12 war sehr reaktionsschnell und lieferte die folgende Aussage.
„K12 nimmt die Datensicherheit sehr ernst. Wenn uns ein potenzielles Sicherheitsproblem angezeigt wird, untersuchen wir das Problem sofort und ergreifen die entsprechenden Maßnahmen, um die Situation zu beheben. “
Auswirkungen exponierter Daten
Die Weitergabe dieser Informationen ist zwar nicht so schlimm wie beispielsweise die Weitergabe von Finanzdaten oder Sozialversicherungsnummern, hat jedoch Auswirkungen. Diese Informationen können verwendet werden, um einzelne Schüler auf Spear-Phishing und Übernahmebetrug anzusprechen. Wenn der Name der Schule veröffentlicht wird, können die Schüler möglicherweise körperlichen Schäden ausgesetzt sein.
Wenn Sie oder Ihr Kind A + LS von K12.com verwendet haben, halten Sie Ausschau nach Anmeldeversuchen für verschiedene Konten und Phishing-E-Mails. Die Veröffentlichung einer E-Mail-Adresse kann auch dazu führen, dass Sie mehr Spam-E-Mails erhalten.
Über K12.com
K12.com bietet Einzelpersonen und Schulen Online-Lernprogramme an. Es scheint, dass diese Exposition nur die A + LS-Software betraf. Je nach Einrichtung können Schüler über einen Desktop-Client auf Heim- oder Schulcomputern oder über das Internet innerhalb und außerhalb des Schulnetzwerks auf dieses System zugreifen. Persönliche Informationen wie Name, E-Mail-Adresse und Geburtsdatum sind erforderlich, damit jeder Schüler ein Konto erstellen kann.
Soweit wir wissen, war K12.com in der Vergangenheit nicht an anderen Datenlecks beteiligt. Dies ist jedoch nicht die erste Gefährdung für Schüler in der K-12-Ausbildung und wird nicht die letzte sein. Tatsächlich ereigneten sich 2023 122 Vorfälle im Bereich der K-12-Cybersicherheit, an denen 119 Bildungseinrichtungen beteiligt waren. Da Schulen zunehmend Technologien einsetzen, wird die Cybersicherheit weiterhin ein wachsendes Problem sein.
Es ist besorgniserregend zu hören, dass eine Datenbank von K12.com mit fast 7 Millionen Schülerakten offen gelassen wurde und für jeden mit einer Internetverbindung zugänglich war. Obwohl die Informationen in den Datensätzen nicht so sensibel sind wie Finanzdaten oder Sozialversicherungsnummern, können sie dennoch für Spear-Phishing und Übernahmebetrug verwendet werden. Es ist wichtig, dass K12.com und andere Bildungseinrichtungen die Datensicherheit ernst nehmen und angemessene Maßnahmen ergreifen, um solche Vorfälle zu vermeiden. Wir sollten auch vorsichtig sein und auf verdächtige Aktivitäten achten, insbesondere wenn wir A + LS von K12.com verwenden. Die Cybersicherheit wird in der K-12-Ausbildung weiterhin ein wachsendes Problem sein, und es ist wichtig, dass wir uns bewusst bleiben und uns schützen.