Medicinsk skole afslører personlige data om tusindvis af studerende

0
119

Charlie Osborne

Af Charlie Osborne til Zero Day | 3. november 2021 | Emne: Sikkerhed

En amerikansk medicinsk uddannelsesskole afslørede de personligt identificerbare oplysninger (PII) fra tusindvis af studerende.

I onsdags offentliggjorde vpnMentor en rapport om sikkerhedshændelsen, hvor en usikret spand blev efterladt blottet online.

Serveren, som ikke havde godkendelseskontroller på plads og derfor var tilgængelig for alle at se, indeholdt 157 GB data eller lige under anslået 200.000 filer.

Efter at have opdaget det åbne system, sporede forskerne ejeren som Phlebotomy Training Specialists. Den LA-baserede organisation tilbyder phlebotomi-certificering og kurser i stater, herunder Arizona, Michigan, Texas, Utah og Californien.

Ifølge vpnMentor blev posterne indeholdt i sikkerhedskopieret fra september 2020, men nogle blev oprettet før dette tidspunkt.

Den usikrede Amazon S3-spand indeholdt en række PII, inklusive ID-kort og kørekortkopier, samt CV'er, afslørende navne, fødselsdatoer, køn, fotos af studerende, hjemmeadresser, telefonnumre, e-mailadresser og både professionelt og uddannelsesmæssigt. resuméer.

Derudover blev der fundet over 27.000 sporingsformularer, der i nogle tilfælde indeholdt de sidste fire cifre i CPR-numre, såvel som studerendes udskrifter og scanninger af uddannelsesbeviser.

screenshot-2021-11-01-at -11-13-05.png

vpnMentor

screenshot-2021-11-01-at -11-13-22.png

vpnMentor

vpnMentor's team, ledet af Noam Rotem og Ran Locar, anslår, at mellem 27.000 – 50.000 mennesker, inklusive kursusansøgere og deltagere, blev påvirket.

Forskerne informerede Phlebotomy Training Specialists om deres resultater den 7. september, tre dage efter S3-spandens opdagelse. Yderligere forsøg på kontakt blev gjort, men der var ingen reaktion. Holdet forsøgte derefter at kontakte Amazon, før de kontaktede USA Cert den 20. september. 

Forskerne fortalte ZDNet, at der til sidst blev fundet to spande, hvoraf den ene er blevet lukket — men den anden forbliver åben.< /p>

ZDNet har kontaktet Phlebotomy Training Specialists for kommentarer, og vi vil opdatere, når vi hører tilbage.

Tidligere og relateret dækning

De største hacks, databrud i 2020
Milliarder af poster er allerede blevet hacket. Gør cybersikkerhed til en prioritet eller risikokatastrofe, advarer analytiker
En virksomhed opdagede et sikkerhedsbrud. Så fandt efterforskere denne nye mystiske malware

Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0

Security TV | Datastyring | CXO | Datacentre