教育平台OneClass暴露了北美多少学生用户的隐私数据作为一个远程教育平台,其旨在向北美数以百万计的学生提供学习指导和帮助材料。
然而新公布的这个漏洞,却将北美超过100万学生的私人数据,暴露在了公共网络之中。
【网站截图】
在学生们因为COVID-19大流行而被迫在家学习的大环境下,此类教育平台的重要程度被提升到了新的高度。
据悉,OneClass成立于2010年,目前总部位于加拿大多伦多。然而对用户数据的保护失当,导致其成为了被黑客盯上的一座金矿。
该公司声称帮助60多万名学生完成了学业,但实际数字可能要高得多。vpnMentor预计其错误地存储了超过百万人的数据,其中包括那些已不再是其会员的用户。
虽然OneClass表示某些学习资料是免费的,但最有价值的那些,仍需要成为付费会员才能获得。
在事件曝光后,vpnMentor立即与数据库所有者OneClass取得了联系。
作为响应,后者立即对数据库施加了保护,但声称出现问题的只是测试用的服务器,辩称存储在上面的任何数据都与真实用户无关。
然而在调查区间,vpnMentor还是借助公开可用的信息,对数据库中的一小部分记录进行了验证。
通过比对从众多记录中获取的PII数据,可知OneClass数据库中的资料,确实与各平台上的讲师、以及其它用户的社交资料匹配一致。
基于此,vpnMentor再次联系OneClass以沟通相关证据。遗憾的是,该公司没有给出进一步的答复。
OneClass在官网上写道,其已采取必要的物理、技术和管理措施,以最高敏感度的标准来保障个人数据的安全。然而vpnMentor团队的发现表明,情况并非如此。
据悉,该公开数据库基于Elasticsearch框架打造,并托管在一点也不安全的亚马逊云服务(AWS)上。
其中包含了超过27GB的数据,总计890万条的记录,曝光了超过100万OneClass用户的个人身份信息(PII),比如全名、邮件地址、所在学校、电话号码、课程注册详情等。
鉴于OneClass还提供了面向高中生的资源、并接受13岁以上用户的注册,因此其中某些数据可能还属于未成年人。