Een Amerikaanse medische opleidingsschool heeft de persoonlijk identificeerbare informatie (PII) van duizenden studenten openbaar gemaakt.
Woensdag publiceerde vpnMentor een rapport over het beveiligingsincident, waarbij een onbeveiligde bucket online werd achtergelaten.
De server, die geen authenticatiecontroles had en daarom voor iedereen toegankelijk was, bevatte 157 GB aan gegevens, of iets minder dan 200.000 bestanden.
Na het ontdekken van het open systeem, traceerden de onderzoekers de eigenaar als Phlebotomy Training Specialists. De in LA gevestigde organisatie biedt aderlatingscertificering en cursussen aan in staten als Arizona, Michigan, Texas, Utah en Californië.
Volgens vpnMentor is er een back-up gemaakt van de records in september 2020, maar sommige zijn eerder gemaakt.
De onbeveiligde Amazon S3-emmer bevatte een verscheidenheid aan PII, waaronder kopieën van identiteitskaarten en rijbewijs, evenals cv's, die namen, geboortedata, geslachten, foto's van studenten, huisadressen, telefoonnummers, e-mailadressen en zowel professionele als educatieve samenvattingen.
Bovendien werden meer dan 27.000 traceerformulieren gevonden die in sommige gevallen de laatste vier cijfers van burgerservicenummers bevatten, evenals transcripties van studenten en scans van opleidingscertificaten.
vpnMentor
vpnMentor
vpnMentor's team, onder leiding van Noam Rotem en Ran Locar, schat dat tussen de 27.000 – 50.000 mensen, inclusief cursusaanvragers en deelnemers, werden getroffen.
De onderzoekers informeerden Phlebotomy Training Specialists over hun bevindingen op 7 september, drie dagen na de ontdekking van de S3-emmer. Er werden nog meer pogingen gedaan om contact op te nemen, maar er kwam geen reactie. Het team probeerde vervolgens contact op te nemen met Amazon voordat ze contact zochten met USA Cert op 20 september.
De onderzoekers vertelden ZDNet dat er uiteindelijk twee emmers zijn gevonden, waarvan er één is gesloten, maar de andere blijft open.< /p>
ZDNet heeft contact opgenomen met Phlebotomy Training Specialists voor commentaar en we zullen updaten wanneer we iets horen.
Eerdere en gerelateerde berichtgeving
De grootste hacks, datalekken van 2020
Miljarden records zijn al gehackt. Maak van cyberbeveiliging een prioriteit of riskeer een ramp, waarschuwt analist
Een bedrijf heeft een beveiligingslek ontdekt. Toen ontdekten onderzoekers deze nieuwe mysterieuze malware
Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters