大學錄取平臺泄露24萬學生個人敏感信息

發(fā)布時間 2023-05-18

Cybernews 研究團隊發(fā)現(xiàn),熱門大學錄取平臺 Leverage EDU 泄露了近 24萬份敏感文件,包括學生的電話號碼、財務信息、證書和考試成績。Leverage EDU是為出國留學學生提供的一站式錄取平臺,2022年在全球擁有650 多家教育機構以及多達8000 萬的龐大用戶群體。自新冠疫情以來,該公司在印度各地開設了分支機構,在英國和澳大利亞也設有辦事處。


Cybernews指出,泄露問題出自系統(tǒng)配置錯誤,導致任何人不需要任何身份驗證,均可以訪問所有大學申請者的個人信息。


在一個名為Amazon S3 的被暴露的數(shù)據(jù)存儲桶中,研究人員發(fā)現(xiàn)其中包含大量zip 文件夾,涉及近24萬名學生的敏感數(shù)據(jù)和個人身份信息 (PII)。研究人員還注意到許多個人身份證明文件,包括屬于學生及其父母的護照照片。此外,大量詳細的財務信息也被暴露,包括銀行對賬單、學生貸款文件、貸款共同簽署人的身份證明文件和工資單。


研究人員警告,如此大規(guī)模且信息詳細的數(shù)據(jù)泄露,可以讓攻擊者以此進行身份盜用和欺詐,比如進行魚叉式網絡釣魚攻擊,精確地瞄準個人,從而使他們的財務和其他賬戶面臨風險。


為遏制此次數(shù)據(jù)泄露,Cybernews 建議受影響的用戶要注意銀行賬戶是否有任何可疑活動。為減輕與網絡釣魚活動相關的風險,用戶在接收消息時應謹慎行事,避免點擊來歷不明的鏈接,并通過可信來源驗證可疑電子郵件中的信息。


此外,受泄露影響的學生應聯(lián)系負責簽發(fā)這些文件的政府部門,要求其作廢并簽發(fā)新文件。