Dane niepełnosprawnych dzieci wyciekły do sieci

Badacze z vpnMentor niedawno odkryli niezabezpieczoną bazę danych, w której znajdują się dane osobowe dzieci w wieku szkolnym ze specjalnymi potrzebami i ich rodziców. Zgodnie z ostatnim raportem zespołu do spraw cyberbezpieczeństwa w feralnej bazie danych znajdowało się około 50 000 faktur należących do Encore Support Services, dostawcy usług w zakresie edukacji specjalnej i behawioralnej opieki zdrowotnej.

Baza danych, która nie była chroniona hasłem, zawierała różne dane osobowe uczniów szkół publicznych w Nowym Jorku i ich rodziców.

Nieodpowiednie zabezpieczenie bazy danych

Przedział ujawnionych publicznie zapisów obejmuje 47 192 rekordów uczniów o łącznej pojemności 6,74 GB. Wśród niezabezpieczonych danych był unikalny dziewięciocyfrowy numer OSIS ucznia, wydawany wszystkim uczniom uczęszczającym do szkół publicznych w Nowym Jorku, a także rodzaje używanych usług (mogące wskazywać na niepełnosprawność dziecka) oraz uwagi dotyczące opieki (w tym medycznej) świadczonej w szkole lub w domu. Oprócz tego w bazie danych znajdowały się imiona i nazwiska uczniów i ich rodziców oraz ich adresy domowe.

„Faktury zawierały również informacje o dostawcy, numer identyfikacji podatkowej EIN/SSN i godziny rozliczeń ze szczegółowych żądań płatności dostawcy” – czytamy w raporcie. – „Koszt usług wahał się od 150 do 170 dolarów za godzinę konsultacji i był refundowany przez Ministerstwo Edukacji. Usługi te były świadczone zgodnie z diagnozą uczniów. Faktury zawierały pole „Rodzaj usługi” z różnymi kodami, które potencjalnie mogły wskazywać, z jakimi problemami zdrowotnymi borykają się uczniowie. Te zapisy zostały udostępnione publicznie, bez zabezpieczenia hasłem lub szyfrowania, każdemu, kto ma połączenie z Internetem”.

Dane niepełnosprawnych dzieci wyciekły do sieci – jakie są zagrożenia?

Specjaliści do spraw cyberbezpieczeństwa nie są jeszcze w stanie stwierdzić, czy dostęp do informacji o nowojorskich uczniach uzyskali hakerzy lub inne niepowołane osoby. Musimy jednak pamiętać, że publiczne bazy danych zawsze stanowią zagrożenie dla konsumentów.

Zespół Bitdefender przestrzega, że w przypadkach nieodpowiedniej ochrony baz danych cyberprzestępcy mogą obrać za cel rodziców lub opiekunów dzieci, aby zdobyć bardzo poufne informacje, które mogłyby zostać użyte np. do kradzieży tożsamości dzieci.

Wykorzystując metody oparte na socjotechnice, przestępca mógłby skontaktować się z rodzicem i udawać pracownika Encore Support Services lub przedstawiciela szkoły i po prostu powiedzieć: „Aktualizujemy nasze dane i potrzebujemy numeru ubezpieczenia społecznego (SSN) twojego dziecka lub innych informacji” – ostrzegają specjaliści do spraw cyberbepieczeństwa.

„Incydent związany z firmą Encore Support Services pokazuje, jak ważne jest zadbanie o odpowiednią ochronę baz danych. Wyobraźmy sobie, że korzystamy z usług firmy ubezpieczeniowej i dzwoni do nas rzekomy pracownik tej firmy, który ma dostęp do naszych danych i historii naszego leczenia. Podczas rozmowy prosi nas o aktualizację danych karty kredytowej. W takiej sytuacji byłoby nam bardzo trudno od razu rozpoznać oszustwo. Dlatego musimy pamiętać, że niezależnie od tego, jak bardzo przekonujący byłby rozmówca podający się za pracownika jakiejś instytucji, nie powinniśmy podawać przez telefon żadnych poufnych danych związanych z bankowością” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.