Cover Image

Database del college che disperde quasi 1 milione dati personali studenti

23 Luglio 2020 - Tempo di lettura: 20 minuti

Recentemente è stato scoperto un altro bucket o database di Amazon S3 (Simple Storage Service) non protetto, contenente quasi 1 milione di record di informazioni accademiche sensibili per studenti delle scuole superiori.

Sono inclusi in questo bucket non garantito i punteggi GPA, i punteggi ACT, SAT e PSAT, le trascrizioni non ufficiali, gli ID studente e i nomi, indirizzi e-mail, indirizzi di casa, numeri di telefono e altro degli studenti e dei genitori.

Il bucket non garantito sembra appartenere a CaptainU, una piattaforma online che pretende di aiutare a connettere gli studenti atleti e college o università che sono interessati a reclutarli per i loro programmi atletici. Per questo motivo, il bucket contiene anche immagini e video dei risultati atletici degli studentimessaggi dagli studenti agli allenatori e altro materiale di reclutamento.

Poiché le fughe di dati riguardano minori (essendo studenti delle scuole superiori) di età compresa tra 13 e 18 anni, questa perdita sembra particolarmente sensibile.

Il 22 maggio è stata contattata CaptainU per aiutarli a proteggere il loro database Quando non si è ricevuto risposta dalla società, è stata contattata Amazon il 1° giugno per risolvere il problema. Tuttavia, mentre sono stati in grado di proteggere l'indicizzazione il 9 giugno, i file sono ancora accessibili.

Tramite un rappresentante di Amazon, CaptainU ha affermato che i dati educativi sensibili erano "pensati per essere apertamente disponibili". Ma sembra che CaptainU non abbia mai menzionato questo fatto agli studenti o ai loro genitori.

Rick Garcia, la cui figlia a un certo punto era membro di CaptainU - e i cui file personali sono ancora contenuti nel database - ci ha informato di non aver mai saputo o voluto che le informazioni di sua figlia fossero pubblicamente disponibili, ma di condividerle sul piattaforma per vedere altri allenatori. "Non abbiamo accettato di pubblicare tutte le sue informazioni educative al pubblico", ha detto. "Pensavamo di darle solo GPA."

CaptainU non ha risposto alle ripetute richieste di commento.

Quali dati sono nel bucket?

Il bucket Amazon S3 non protetto contiene i seguenti dati:

  • Punteggi GPA 
  • trascrizioni non ufficiali
  • Punteggi ACT, SAT e PSAT
  • ID studente
  • nomi, indirizzi, numeri di telefono e alcuni indirizzi e-mail di studenti e genitori
  • messaggi dagli studenti agli allenatori
  • immagini e video di risultati atletici
  • materiale di reclutamento, orari dei campi e altri documenti relativi al coaching

Circa 40.000 di questi sono PDF dei punteggi accademici degli studenti, 20.000 sono documenti Word - di solito messaggi inviati alle università, 278 + 1135 sono fogli Excel, e il resto (circa 85.5807 file) sono immagini e video delle vetrine atletiche degli studenti. Alcuni dei documenti all'interno del database sono duplicati.

Esempi di record esposti

Diamo un'occhiata ad alcuni esempi dei record accademici sensibili che il database CaptainU perde.

Ecco quello che sembra essere un ID con il nome dello studente, GPA, punteggio SAT, scuola superiore, numero di telefono e indirizzo e-mail:

Queste sono tutte informazioni riservate e i genitori e gli studenti saranno probabilmente infelici che quasi 1 milione dei loro record vengano esposti online.

Chi possiede il bucket?

Il bucket sembra essere di proprietà di CaptainU, che è un sito Web di reclutamento universitario volto ad aiutare gli atleti degli studenti a mettersi in contatto con gli allenatori universitari. Il sito afferma di aver aiutato "oltre 2 milioni di atleti" a seguire i loro sogni di entrare in una squadra universitaria.

CaptainU è una consociata di Stack Sports, la cui pagina LinkedIn afferma che è "il leader globale nella tecnologia dello sport" che fornisce servizi per "enti governativi nazionali, leghe sportive giovanili, club e associazioni, genitori, allenatori e atleti".

Chi ne ha avuto accesso?

Al momento, non è chiaro chi abbia avuto accesso a questo server Amazon S3 non protetto. I dati potrebbero essere stati esposti per un breve o lungo periodo di tempo - alcuni dei documenti risalgono al 2016, mentre alcune immagini risalgono anche al 2012. Tuttavia, al momento non è noto se quello sia il momento in cui i file sono stati creati o quando sono stati caricati nel database.

Tuttavia, a causa della relativa facilità di trovare e consultare questi database S3 non protetti, è possibile che altri abbiano avuto accesso a questi dati.

Qual è l'impatto?

Gli studenti delle scuole superiori, essendo in gran parte minorenni, sono tutelati da varie leggi, mentre gli studenti in generale hanno i loro documenti accademici tutelati dal Family Educational Rights and Privacy Act (FERPA)Questa legge federale, tra le altre cose, fornisce ai genitori il "controllo sulla divulgazione di informazioni personali identificabili dai registri dell'istruzione". Quando lo studente compie 18 anni o entra in un college, il trasferimento dei diritti dai genitori agli studenti.

In entrambi i casi, i genitori o lo studente scelgono a chi divulgare le informazioni e un database non garantito rimuove tale scelta e quel controllo da loro. 

Tuttavia, la FERPA sembra applicarsi solo alle "agenzie e istituzioni educative che ricevono fondi nell'ambito di un programma gestito dal Dipartimento della Pubblica Istruzione degli Stati Uniti".

Poiché CaptainU è una società privata e poiché gli studenti o i genitori hanno consegnato volentieri i dati accademici e personali a questa società privata, sembrano esserci poche conseguenze legali.

Tuttavia, gli hacker possono utilizzare questi dati per campagne di phishing mirate (ad esempio, inviando un'e-mail ai genitori con dati solo sull'istituzione come ID o punteggi degli studenti e fingendo di essere un funzionario), o persino ricattando, cyberbullismo o sfruttando gli studenti stessi.

intopic.it