Une organisation à but non lucratif fondée par la Fondation Gates subit une exposition massive des dossiers des étudiants
Français
Get Schooled, une organisation caritative basée à New York a subi une exposition de données qui a laissé des enregistrements liés à des centaines de milliers d’étudiants dans un compartiment AWS non sécurisé qui était ouvert et accessible depuis Internet.
L’exposition a été identifiée pour la première fois par TurgenSec, une société de sécurité basée au Royaume-Uni, qui a reçu une soumission d’un tiers anonyme contenant des données prétendant provenir d’un compartiment de stockage AWS mal configuré utilisé par Get Schooled. L’authenticité de l’exposition a finalement été confirmée par les analystes de sécurité de TurgenSec, et ils ont informé l’organisation à but non lucratif le 18 novembre. Get Schooled a confirmé l’exposition à SC Media et à d’autres médias et que la mauvaise configuration avait été corrigée le 21 décembre avant le départ du personnel pour les vacances. .
Get Schooled a été lancé en 2009 et fournit des ressources pédagogiques, de la recherche et de l’aide aux étudiants pendant le processus de candidature au collège, leur mandat universitaire et la recherche d’emploi post-universitaire. Les données exposées comprenaient des détails relatifs aux étudiants qui se sont engagés avec l’organisation à but non lucratif, y compris les noms, les courriels, l’âge, le sexe, leur lycée ou collège et les données de diplomation. Dans certains cas, les adresses physiques et les numéros de téléphone ont également été exposés.
TurgenSec a estimé que le nombre de personnes touchées pourrait être supérieur à 900 000, mais ce chiffre a été contesté par Get Schooled. Dans une interview, John Branam, le directeur exécutif de l’organisation, a confirmé que le problème était lié à un compartiment AWS mal configuré, mais a déclaré que le nombre réel de personnes concernées était plus proche de 250 000. Il a déclaré que TurgenSec n’avait pas dédupliqué les données reçues et comptait donc probablement des centaines de milliers d’adresses e-mail en double. Un porte-parole de TurgenSec a déclaré qu’il était possible que le nombre réel de personnes touchées soit inférieur.
Branam a également minimisé la valeur des données exposées, affirmant qu’elles ne contenaient aucun numéro de sécurité sociale, date de naissance ou information financière des personnes touchées. Alors que d’autres données, telles que les adresses e-mail des étudiants qui se sont engagés avec l’organisation à but non lucratif et “certaines” adresses physiques ont été incluses, il a déclaré que la grande majorité étaient obsolètes ou liées à des comptes que les étudiants avaient avec leurs anciens lycées qui ne sont plus actifs ou purgés. des systèmes scolaires après l’obtention du diplôme.
«C’est malheureux, nous ne débattons pas de cela et nous en assumons la responsabilité», a-t-il déclaré. «Des erreurs se produisent, mais dans ce cas, la grande majorité de ces données ne sont pas pertinentes et dans les cas où il y a une certaine pertinence en termes de jeunes qui s’engagent encore avec Get Schooled, vous parlez tout au plus d’un léger potentiel d’augmentation du spam. . »
Branam a déclaré que l’organisation avait notifié les personnes concernées et n’avait pas encore entendu de rapports ou de préoccupations concernant le vol d’identité ou l’augmentation du spam qui indiquerait une utilisation malveillante généralisée des données exposées. Ils collaborent également avec un fournisseur de sécurité tiers pour examiner leur état de sécurité. Alors que TurgenSec affirme avoir obtenu les données d’un tiers anonyme (qui y a vraisemblablement accédé), Branam a déclaré que son organisation n’avait pas de preuves prouvant ou infirmant qu’un accès non autorisé aux données a eu lieu.
Bien qu’il ait été initialement lancé avec le soutien de la Fondation Bill et Melinda Gates, Viacom AT&T et Capital One, Branam a souligné que la société restait une petite organisation à but non lucratif avec un budget et un personnel limités. Get Schooled disposait d’un budget d’un peu plus de 2 millions de dollars en 2018 et 2017, selon Charity Navigator, qui avise ses utilisateurs qu’ils peuvent «donner en toute confiance» en grande partie en raison de la transparence financière de l’organisation à but non lucratif et des faibles frais administratifs. »
Ils comptent actuellement 12 employés, et le travail informatique et cybersécurité est souvent géré par des membres du personnel ayant d’autres titres de poste et responsabilités, ce qui n’est pas une réalité rare dans le monde à but non lucratif. Selon DonorBox, les petites organisations à but non lucratif peuvent devenir des cibles attrayantes pour les pirates à la fois parce qu’elles peuvent avoir des données précieuses sur les donateurs et parce que les ressources sont si limitées que la cybersécurité est souvent abandonnée. Branam a déclaré que les donateurs cherchent généralement à donner de l’argent pour des missions ou des programmes spécifiques au sein d’une organisation, et que les postes budgétaires destinés à améliorer la cybersécurité ne reçoivent généralement pas beaucoup de soutien financier.
Ironiquement, il a déclaré que la réponse retardée pour remédier à la mauvaise configuration était en partie due à des préoccupations concernant la cybersécurité. Le personnel a estimé que le ton de l’e-mail initial de TurgenSec semblait «off» et il y avait des craintes qu’il puisse s’agir d’une tentative de phishing. Ils ont finalement pu confirmer la mauvaise configuration et y remédier. Il a dit qu’il essayait de suivre la bonne ligne entre ne pas paraître dédaigneux de l’exposition tout en n’exagérant pas non plus son impact.
«Dans ce cas particulier, c’était une très petite erreur, mais bien sûr, dans le monde numérique, de petites erreurs peuvent exposer beaucoup de données», a-t-il déclaré. «Je n’ai pas de graves préoccupations concernant nos pratiques, mais je pense que l’opportunité ici est d’apprendre et de s’améliorer.»
Le Financial Times a d’abord rendu compte de l’exposition des données.
