Образовательная некоммерческая организация Edraak два месяца игнорировала утечку данных о студентах

Edraak, некоммерческая онлайн-образовательная организация, раскрыла личную информацию тысяч студентов после загрузки данных студентов на незащищенный сервер облачного хранилища, очевидно, по ошибке.

Некоммерческая организация, основанная королевой Иордании Ранией со штаб-квартирой в столице королевства, была создана в 2013 году для продвижения образования в арабском регионе. Организация работает с несколькими партнерами, включая Британский совет и edX, консорциум, созданный Гарвардом, Стэнфордом и Массачусетским технологическим институтом.

В феврале исследователи из британской фирмы TurgenSec, занимающейся кибербезопасностью, обнаружили один из серверов облачного хранения Edraak, содержащий как минимум десятки тысяч данных об учениках, включая таблицы с именами учеников, адресами электронной почты, полом, годом рождения, страной гражданства и некоторыми оценками. .

TurgenSec, который управляет сайтом Breaches.UK, раскрывающим инциденты безопасности, предупредил Edraak о нарушении безопасности. Неделю спустя их электронная почта была подтверждена организацией, но данные продолжали распространяться. Электронные письма, просмотренные TechCrunch, показывают, что исследователи пытались предупредить других, кто работал в организации, через запросы LinkedIn и ее партнеров, включая Британский совет.

Прошло два месяца, а сервер оставался открытым. По его запросу TechCrunch связался с Edraak, который через несколько часов закрыл серверы.



В электронном письме на этой неделе генеральный директор Edraak Шериф Халава сообщил TechCrunch, что сервер хранения «предназначен для публичного доступа и размещения ресурсов общедоступного содержания курса, таких как изображения курсов, видео и образовательные файлы», но что «данные студентов никогда намеренно не помещается в это ведро ».

«Однако из-за досадной ошибки конфигурации некоторые академические данные и информация о студентах были случайно помещены в корзину», – подтвердил Халава.

«К сожалению, наше первоначальное сканирование не позволило обнаружить неуместные данные, которые попали туда случайно. Мы связали элементы в электронном письме Breaches.UK с обычными загрузками учащихся. Сегодня мы обнаружили эти неуместные отчеты и решили проблему », – сказал Халава.

Сервер закрыт для общего доступа.

Непонятно, почему Эдраак проигнорировал первоначальное электронное письмо исследователей, в котором указывалось местонахождение незащищенного сервера, или почему в ответ организации не запросили более подробную информацию. Представитель Британского Совета Кэтрин Боуден заявила, что организация получила электронное письмо от TurgenSec, но приняла его за фишинговое письмо.

Генеральный директор Edraak Халава сказал, что организация уже начала уведомлять пострадавших студентов об инциденте, и опубликовала сообщение в блоге в четверг.

В прошлом году TurgenSec обнаружила незашифрованную базу данных клиентов, принадлежащую британскому -провайдеру Virgin Media, которая была оставлена ​​в сети по ошибке, содержащая записи, связывающие некоторых клиентов с ами для взрослых и откровенно откровенными.

Ещё с сайта TechCrunch:


Безопасно отправляйте советы через Signal и на номер +1 646-755-8849. Вы также можете отправлять файлы или документы с помощью нашего SecureDrop. Учить больше.