Saltar al contenido

La base de datos expuesta del Instituto de Cambridge

06/11/2020

La base de datos (encontrada a través de la búsqueda de Shodan y alojada en una IP en la nube de Amazon) parecía ser parte del Instituto de Educación Internacional de Cambridge (CIEE), una empresa de consultoría educativa con sede en Boston que aumenta la participación internacional en las escuelas secundarias privadas estadounidenses y fortalece la capacidad de esas instituciones para educar a estudiantes internacionales, según su sitio web https://www.cambridgenetwork.com/

Inicialmente, cuando fue contactado por correos electrónicos desde su sitio web el 6 de junio, CIEE no respondió a la notificación de la base de datos. Sin embargo, después de una llamada telefónica a su oficina de Boston, la base de datos finalmente se aseguró en una hora. TecnologarSecurity and Research Center desea agradecer a Databreaches.net por ayudar con la notificación a CIEE.

Una carpeta en la base de datos parece tener una gran cantidad de archivos que eran de acceso público para cualquiera que los buscara. La carpeta se tituló «NewStudentsApplicationReportForFinanceV1» parece tener más de 600K registros para estudiantes internacionales e incluye información personal, incluidos nombres, correos electrónicos, contraseñas, teléfonos, detalles de cuentas, información de familiares, detalles de pasaportes (todo en texto plano). Además, incluso había registros de correspondencia entre los miembros del equipo del Instituto de Educación Internacional de Cambridge, informes de alojamiento y enlaces de trabajo a los PDF y confirmaciones de pago.

Además, hubo una colección adicional de registros que incluían la información detallada de más de 12,000 casas de acogida, incluida la información sobre un hogar, detalles de miembros de la familia (como afecciones médicas, si las hubiera, creencias religiosas, incluso la frecuencia de asistencia a actividades religiosas) , detalles de ocupación, incl. correos electrónicos y teléfonos, fechas de nacimiento y otros datos extremadamente sensibles sobre la privacidad personal de las familias anfitrionas. La base de datos contenía un tesoro de datos confidenciales que podrían haberse utilizado para una amplia gama de actividades ilícitas y, además de los posibles usos ilegales o delictivos de estos datos, es extremadamente vergonzoso ver la documentación de los informes de vivienda y las descripciones detalladas de los estudiantes. conflictos, condiciones médicas, problemas personales, condiciones de vida y mucho más.

Curiosamente, el investigador de seguridad de Tecnologarque descubrió la fuga de datos al navegar en Shodan se dio cuenta de que la base de datos lleva el nombre de un planeta de Star Wars. La base de datos se llamó «Coruscant», un planeta en el universo de Star Wars (Centro Imperial durante el reinado del Imperio Galáctico).

El Instituto de Educación Internacional de Cambridge es otro ejemplo más de la importancia de proteger los datos sensibles en el campo educativo. Desde 2014, la cantidad de estudiantes cuyos datos se vieron comprometidos en línea ha seguido creciendo y con más de medio millón de cuentas sin protección, muestra la escala completa de cuán grande es la cantidad de estudiantes que Cambridge dejó vulnerables frente a otras filtraciones recientes. .

* Fugas de datos notables o infracciones a universidades e instituciones educativas 2014-16

  • University of Maryland expuso SSN y más para 300,000 estudiantes y empleados,
  • La Universidad de Dakota del Norte perdió datos sobre 300.000 estudiantes a manos de piratas informáticos,
  • Butler University perdió 200.000 a manos de hackers y
  • La Universidad de Indiana expuso información sobre 146.000 estudiantes.
  • En 2015, los proveedores que buscaban hacer negocios con el distrito escolar de Chicago recibieron los datos personales de 4.000 estudiantes.
  • 2016 La Universidad de Greenwich publicó accidentalmente los datos personales de los estudiantes en su sitio web

***

Descubra cómo Tecnologarle ayuda a mantenerse protegido en línea y fuera de línea.

Atención: algunas partes de este artículo pueden utilizarse para su publicación si se hace referencia a ellas y se da crédito a TecnologarSecurity Research Center.