Медицинская школа США раскрыла личную информацию (PII) тысяч студентов.
В среду vpnMentor опубликовал отчет об инциденте, связанном с безопасностью, когда незащищенная корзина была оставлена открытой в сети.
Сервер, на котором не было элементов управления аутентификацией и, следовательно, был доступен для просмотра любому, содержал 157 ГБ данных или чуть менее 200 000 файлов.
Обнаружив открытую систему, исследователи проследили, чтобы владелец был специалистом по обучению флеботомии. Эта организация из Лос-Анджелеса предлагает сертификаты и курсы по флеботомии в штатах, включая Аризону, Мичиган, Техас, Юту и Калифорнию.
Согласно vpnMentor, записи, содержащиеся в нем, были зарезервированы с сентября 2020 года, но некоторые из них были созданы до этого времени.
Незащищенная корзина Amazon S3 содержала различные PII, включая копии удостоверений личности и водительских прав, а также резюме, раскрывающие имена, даты рождения, пол, фотографии студентов, домашние адреса, номера телефонов, адреса электронной почты, а также профессиональные и образовательные резюме.
Кроме того, было обнаружено более 27 000 бланков для отслеживания, которые в некоторых случаях содержали последние четыре цифры номеров социального страхования, а также стенограммы учащихся и сканы свидетельств о прохождении обучения.
Команда vpnMentor, возглавляемая Ноамом Ротемом и Раном Локаром, подсчитала, что пострадали от 27 000 до 50 000 человек, включая соискателей курсов и слушателей.
Исследователи проинформировали специалистов по обучению флеботомии о своих выводах 7 сентября, через три дня после открытия ведра S3. Были предприняты дальнейшие попытки установить контакт, но ответа не последовало. Затем команда попыталась связаться с Amazon, прежде чем связаться с USA Cert 20 сентября.
Исследователи сообщили ZDNet, что в конечном итоге были обнаружены два ведра, одно из которых было закрыто, а другое осталось открытым.
ZDNet обратился к специалистам по обучению флеботомии за комментариями, и мы сообщим об этом, когда получим ответ.