大學(xué)錄取平臺(tái)泄露24萬學(xué)生個(gè)人敏感信息
發(fā)布時(shí)間 2023-05-18Cybernews 研究團(tuán)隊(duì)發(fā)現(xiàn),熱門大學(xué)錄取平臺(tái) Leverage EDU 泄露了近 24萬份敏感文件,包括學(xué)生的電話號(hào)碼、財(cái)務(wù)信息、證書和考試成績(jī)。Leverage EDU是為出國留學(xué)學(xué)生提供的一站式錄取平臺(tái),2022年在全球擁有650 多家教育機(jī)構(gòu)以及多達(dá)8000 萬的龐大用戶群體。自新冠疫情以來,該公司在印度各地開設(shè)了分支機(jī)構(gòu),在英國和澳大利亞也設(shè)有辦事處。
Cybernews指出,泄露問題出自系統(tǒng)配置錯(cuò)誤,導(dǎo)致任何人不需要任何身份驗(yàn)證,均可以訪問所有大學(xué)申請(qǐng)者的個(gè)人信息。
在一個(gè)名為Amazon S3 的被暴露的數(shù)據(jù)存儲(chǔ)桶中,研究人員發(fā)現(xiàn)其中包含大量zip 文件夾,涉及近24萬名學(xué)生的敏感數(shù)據(jù)和個(gè)人身份信息 (PII)。研究人員還注意到許多個(gè)人身份證明文件,包括屬于學(xué)生及其父母的護(hù)照照片。此外,大量詳細(xì)的財(cái)務(wù)信息也被暴露,包括銀行對(duì)賬單、學(xué)生貸款文件、貸款共同簽署人的身份證明文件和工資單。
研究人員警告,如此大規(guī)模且信息詳細(xì)的數(shù)據(jù)泄露,可以讓攻擊者以此進(jìn)行身份盜用和欺詐,比如進(jìn)行魚叉式網(wǎng)絡(luò)釣魚攻擊,精確地瞄準(zhǔn)個(gè)人,從而使他們的財(cái)務(wù)和其他賬戶面臨風(fēng)險(xiǎn)。
為遏制此次數(shù)據(jù)泄露,Cybernews 建議受影響的用戶要注意銀行賬戶是否有任何可疑活動(dòng)。為減輕與網(wǎng)絡(luò)釣魚活動(dòng)相關(guān)的風(fēng)險(xiǎn),用戶在接收消息時(shí)應(yīng)謹(jǐn)慎行事,避免點(diǎn)擊來歷不明的鏈接,并通過可信來源驗(yàn)證可疑電子郵件中的信息。
此外,受泄露影響的學(xué)生應(yīng)聯(lián)系負(fù)責(zé)簽發(fā)這些文件的政府部門,要求其作廢并簽發(fā)新文件。