Rapport : 7 millions de dossiers d'élèves exposés par K12.com
Une base de données K12.com contenant près de 7 millions de dossiers d’étudiants a été laissée ouverte afin que toute personne disposant d’une connexion Internet puisse y accéder. Le 25 juin 2019, Comparitech et le chercheur en sécurité Bob Diachenko ont découvert cette révélation. La fuite de données impliquait une instance MongoDB rendue publique.
K12.com propose des programmes éducatifs en ligne pour les étudiants. Cette exposition a affecté son système d'apprentissage A+nyWhere (A+LS) qui est utilisé par plus de 1 100 districts scolaires .
Quelles informations ont été exposées ?
La base de données exposée contenait près de 7 millions (6 988 504) d’enregistrements contenant des données sur les étudiants. Les informations contenues dans chaque dossier comprenaient :
- Adresse e-mail personnelle principale
- Nom et prénom
- Genre
- Âge
- Date de naissance
- Nom de l'école
- Clés d'authentification pour accéder aux comptes et aux présentations ALS
- Autres données internes
Dans ce cas, une ancienne version de MongoDB (2.6.4) était utilisée. Cette version de la base de données n'a pas été prise en charge depuis octobre 2016 . De plus, le protocole RDP (Remote Desktop Protocol) était activé mais non sécurisé.
En conséquence, la base de données a été indexée par les moteurs de recherche Shodan et BinaryEdge. Cela signifie que les enregistrements contenus dans la base de données étaient visibles au public.
Nous avons découvert les données indexées le 25 juin, mais elles étaient publiques depuis le 23 juin et la base de données n’a été fermée que le 1er juillet. Au total, la fuite de données a duré un peu plus d’une semaine. Il n’est pas clair si des parties malveillantes ont accédé aux données pendant l’exposition.
Diachenko a pu entrer en contact avec les représentants de K12 avec l'aide de Dissent Doe, l'administrateur de Databreaches.net. K12 a été très réactif et a fourni la déclaration suivante.
« K12 prend la sécurité des données très au sérieux. Chaque fois que nous sommes informés d'un problème de sécurité potentiel, nous enquêtons immédiatement sur le problème et prenons les mesures appropriées pour remédier à la situation.
Implications des données exposées
Même si la fuite de ces informations n’est pas aussi grave que, par exemple, la divulgation de données financières ou de numéros de sécurité sociale, elle a néanmoins ses implications. Ces informations peuvent être utilisées pour cibler des étudiants individuels dans hameçonnage et fraude au piratage de compte . Le fait que le nom de leur école soit rendu public pourrait potentiellement exposer les élèves à des risques de blessures physiques.
Si vous ou votre enfant avez utilisé A+LS de K12.com, soyez à l'affût d'éléments tels que les tentatives de connexion pour divers comptes et e-mails de phishing . Le fait de rendre publique une adresse e-mail peut également entraîner une augmentation du volume de spams que vous recevez.
À propos de K12.com
K12.com propose des programmes d'apprentissage en ligne aux particuliers et aux écoles. Il semble que cette exposition n’ait affecté que son logiciel A+LS. Selon la configuration, les étudiants peuvent accéder à ce système via un client de bureau sur les ordinateurs personnels ou scolaires, ou via le Web à l'intérieur et à l'extérieur du réseau d'une école. Des informations personnelles telles que le nom, l'adresse e-mail et la date de naissance sont requises pour que chaque étudiant puisse créer un compte.
À notre connaissance, K12.com n’a été impliqué dans aucune autre fuite de données dans le passé. Cependant, ce n’est pas la première exposition affectant les élèves de la maternelle à la 12e année et ce ne sera pas la dernière. En effet, il y avait 122 incidents de cybersécurité de la maternelle à la 12e année en 2018 , impliquant 119 agences éducatives. Alors que les écoles utilisent de plus en plus la technologie, la cybersécurité restera une préoccupation croissante.
