Eğitim kar amacı gütmeyen Edraak, iki ay boyunca öğrenci veri sızıntısını görmezden geldi – TechCrunch

0
17

Kâr amacı gütmeyen çevrimiçi bir eğitim olan Edraak, görünüşe göre yanlışlıkla korumasız bir bulut depolama sunucusuna öğrenci verilerini yükledikten sonra binlerce öğrencinin özel bilgilerini ifşa etti.

Ürdün Kraliçesi Rania tarafından kurulan ve merkezi krallığın başkentinde bulunan kar amacı gütmeyen kuruluş, 2013 yılında Arap bölgesinde eğitimi desteklemek için kuruldu. Organizasyon, Harvard, Stanford ve MIT tarafından kurulan bir konsorsiyum olan British Council ve edX de dahil olmak üzere birçok ortakla çalışıyor.

Şubat ayında, İngiltere siber güvenlik firması TurgenSec’teki araştırmacılar, Edraak’ın öğrenci adları, e-posta adresleri, cinsiyet, doğum yılı, ülkesi ve bazı sınıf notlarının bulunduğu elektronik tablolar da dahil olmak üzere en az on binlerce öğrenci verilerini içeren bulut depolama sunucularından birini buldu. .

Güvenlik olaylarını açıklayan bir site olan Breaches.UK’u çalıştıran TurgenSec, Edraak’ı güvenlik hatası konusunda uyardı. Bir hafta sonra, e-postaları kuruluş tarafından kabul edildi, ancak veriler yayılmaya devam etti. TechCrunch tarafından görülen e-postalar, araştırmacıların kuruluşta çalışan diğer kişileri LinkedIn talepleri ve British Council dahil ortaklarıyla uyarmaya çalıştığını gösteriyor.

İki ay geçti ve sunucu açık kaldı. TechCrunch, isteği üzerine sunucuları birkaç saat sonra kapatan Edraak ile iletişime geçti.

Edraak CEO’su Sherif Halawa, bu hafta bir e-postada TechCrunch’a, depolama sunucusunun “herkesin erişimine açık olması ve kurs görüntüleri, videolar ve eğitim dosyaları gibi herkese açık kurs içeriği varlıklarını barındırması” gerektiğini söyledi, ancak “öğrenci verileri asla kasıtlı olarak bu kovaya yerleştirilmez. “

Halawa, “Talihsiz bir yapılandırma hatası nedeniyle, ancak bazı akademik veriler ve öğrenci bilgileri dışa aktarımı yanlışlıkla kovaya yerleştirildi,” dedi.

“Maalesef ilk taramamız, onu yanlışlıkla oraya getiren yanlış yerleştirilmiş verileri bulamadı. Breaches.UK e-postasındaki öğeleri normal öğrenci yüklemelerine bağladık. Şimdi bu yanlış yerleştirilmiş raporları bugün bulduk ve sorunu çözdük ”dedi Halawa.

Sunucu artık halka açık erişime kapatılmıştır.

Edraak’ın, korumasız sunucunun yerini ifşa eden araştırmacıların ilk e-postasını neden görmezden geldiği veya kuruluşun yanıtının neden daha fazla ayrıntı istemediği açık değil. British Council sözcüsü Catherine Bowden, ulaşıldığında, kuruluşun TurgenSec’ten bir e-posta aldığını, ancak bunu bir kimlik avı e-postası olarak anladığını söyledi.

Edraak’ın CEO’su Halawa, örgütün olaydan etkilenen öğrencileri haberdar etmeye başladığını söyledi ve Perşembe günü bir blog yazısı yayınladı.

Geçen yıl TurgenSec, bazı müşterileri yetişkinlere yönelik ve müstehcen web sitelerine bağlayan kayıtları içeren, yanlışlıkla çevrim içi bırakılmış, İngiliz internet sağlayıcısı Virgin Media’ya ait şifrelenmemiş bir müşteri veritabanı buldu.

TechCrunch’tan daha fazlası:

Signal ve WhatsApp üzerinden güvenli bir şekilde +1 646-755-8849 numaralı telefona ipuçları gönderin. SecureDrop’umuzu kullanarak da dosya veya belge gönderebilirsiniz. Daha fazla bilgi edin.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz