22 Luglio 2020 - Tempo di lettura: 9 minuti
I ricercatori di WizCase si sono imbattuti in cinque siti Web di e-learning che hanno rivelato le informazioni personali di quasi 1 milione di utenti, inclusi i minori. Ogni database esposto era ospitato su server non configurati correttamente e non garantiti, consentendo l'accesso non autorizzato a informazioni riservate.
I ricercatori di Cybersecurity hanno notato che le piattaforme erano utilizzate principalmente da persone minorenni e che i dati esposti includevano nomi completi, indirizzi e-mail, numeri ID, numeri di telefono, indirizzi di casa e data di nascita e informazioni sulla scuola o sul corso.
Escola Digital, un sito web brasiliano che offre una vasta gamma di corsi digitali sia per studenti che per insegnanti, è stato scoperto trapelare i record personali di quasi 75.000 utenti attivi tra il 2016 e il 2017. Oltre alle informazioni personali identificabili, il bucket non configurato correttamente includeva collegamenti a certificati di utenti che hanno frequentato le lezioni online della piattaforma.
MyTopDog, una piattaforma di studio per bambini sudafricana che fornisce test pratici e giochi interattivi, ha esposto oltre 800.000 record di studenti, per gentile concessione di un bucket Amazon S3 non configurato correttamente. All'interno di un database da 50 MB, i ricercatori hanno scoperto vari tipi di dati:
• Un file Excel contenente 50.000 voci di informazioni personali degli utenti registrati nel 2016-2017 • Un file CSV con 800.000 voci utente con nomi completi, numeri di cellulare, data di nascita, sesso e informazioni di contatto di protezione • File PDF che sembrava essere parte dell'attività accordo tra la piattaforma di e-learning e una scuola locale
Okoo, una piattaforma di apprendimento online per bambini in Kazakistan, ha esposto 7.200 record di utenti che includevano informazioni personali e quasi 1 milione di voci riguardanti l'attività degli utenti sulla piattaforma e l'analisi. Il database errato di 418 MB ha rivelato informazioni personali come nomi completi, password in chiaro, indirizzi e-mail, corsi completati e punteggi di quiz degli studenti. Inoltre, i ricercatori hanno trovato una voce che sembrava includere le credenziali di amministratore.
"Tuttavia, quelli non sono stati testati per motivi etici", ha detto il team di investigatori. "Ciò pone molteplici minacce al sito e ai suoi utenti in quanto gli aggressori potrebbero utilizzare i dettagli di accesso amministrativo per manipolare il contenuto di Okoo e accedere facilmente a dati utente estesi."
Square Panda, una piattaforma virtuale con sede negli Stati Uniti che aiuta i bambini a imparare a leggere e scrivere, ha esposto le informazioni di quasi 15.000 utenti. Un file CVS MB ha archiviato i dati personali degli utenti di backup, inclusi nomi completi, indirizzi e-mail, numeri di telefono e tipo di account (genitore o insegnante).
Playground Sessions , una piattaforma di lezioni di piano virtuale negli Stati Uniti, ha rivelato le informazioni private di circa 4.100 utenti registrati tra il 2011 e il 2013. Oltre a nomi completi, nomi utente, e-mail e password con hash, la perdita includeva punteggi delle app, lezioni e registri delle esercitazioni.
I ricercatori avvertono che i rischi per genitori, studenti e insegnanti di cadere vittime di furti di identità o frodi sono elevati.
"Poiché molti utenti i cui dati sono stati divulgati non sono più attivi sui siti, è meno probabile che si rendano conto che queste società hanno ancora le loro informazioni", hanno affermato gli investigatori. "Tuttavia, è ancora possibile che i loro dati possano essere utilizzati per aiutare in vari tipi di reati online. Questi pericoli sono ancora più grandi poiché molti degli utenti interessati dalle perdite sono bambini e giovani".