Dane osobowe ponad 200 000 filipińskich uczniów i ich rodzin zostają ujawnione w Internecie

Jeremiah Fowler, znany badacz cyberbezpieczeństwa, natknął się na bazę danych, w której ujawniono ponad 153 GB danych osobowych uczniów i rodziców na Filipinach. W sumie odnaleziono ponad 200 000 rekordów w niechronionej hasłem bazie danych w chmurze połączonej z aplikacją do kuponów online (OVAP), platformą utworzoną przez Departament Edukacji (DepEd) i Komitet ds. Pomocy w Edukacji Prywatnej (PEAC) w Filipiny.

Groźny wyciek danych filipińskich uczniów

Według raportu Fowlera dla vpnMentor nie jest jasne, kto zarządzał bazą danych i czy jakikolwiek cyberprzestępca miał do niej dostęp przed wyciekiem wrażliwych danych wymienionych w ujawnionych plikach.

Badacz przedstawił jednak obszerną listę danych, z którymi mógł się zapoznać.

„W bazie danych widziałem wiele dokumentów zawierających informacje umożliwiające identyfikację, w tym zeznania podatkowe, wnioski o vouchery, formularze zgody rodziców lub opiekunów, pomoc finansową, zaświadczenia władz lokalnych, świadectwa pracy, akty zgonu i inne dokumenty poświadczone notarialnie lub oficjalne” – wyjaśnił Fowler.

„Dokumenty podatkowe są uważane za bardzo wrażliwe, ponieważ zawierają imię i nazwisko osoby składającej zeznanie oraz jej dzieci, a także adres domowy, numer telefonu, numer pracodawcy oraz numer identyfikacji podatkowej. W folderach aplikacji znajdowały się także pliki obrazów (zdjęcia profilowe) dzieci” – powiedział Fowler.

Pełną listę ujawnionych danych osobowych można zobaczyć poniżej:

Dane osobowe wnioskodawcy:

• Imiona i nazwiska, płeć i data urodzenia.
• Numer referencyjny ucznia (LRN) i miejsce urodzenia.
• Narodowość i obywatelstwo.
• Dane kontaktowe, w tym adres e-mail, adres domowy, numer telefonu stacjonarnego i numer telefonu komórkowego.
• Nazwa gimnazjum, do którego zapisał się uczeń, wraz z adresem i obowiązującymi opłatami szkolnymi.
• Informacje o pomocy finansowej (w stosownych przypadkach).

Dane należące do rodziny wnioskodawcy:

• Imiona rodziców.
• Źródło dochodu, miesięczny dochód brutto i dowód zdolności finansowej.
• Imiona i wiek rodzeństwa.
• Posiadane nieruchomości (pojazd, nieruchomość, dom).
• Dokumenty potwierdzające wskazujące źródło/źródła dochodu, miesięczny dochód brutto jakiejkolwiek innej osoby pomagającej posłać dziecko do szkoły, dowód zdolności finansowej (inny niż rodzic lub opiekun).

Chociaż baza danych została zabezpieczona wkrótce po tym, jak Fowler wysłał zawiadomienie o odpowiedzialnym ujawnieniu do DepEd i filipińskiej Krajowej Komisji ds. Prywatności (NPC), badacz wspomniał również, że narażenie stwarza wiele potencjalnych zagrożeń zarówno dla uczniów, jak i ich rodzin.

Wycieki danych – groźne następstwa

„Ujawnienie, ile dana osoba zarabia i gdzie jest zatrudniona, mogłoby hipotetycznie narazić ją na ryzyko oszustwa finansowego, prób phishingu lub kradzieży tożsamości” – stwierdził Fowler. „W tym przypadku może to prowadzić do potencjalnych strat finansowych dla uczniów i ich rodzin. Informacje umożliwiające identyfikację, takie jak imiona i nazwiska, adresy, dane kontaktowe i data urodzenia, znajdując się w niepowołanych rękach, zwiększają potencjalne ryzyko kradzieży tożsamości i podszywania się pod inne osoby.

„Wyciek danych z filipińskich szkół doskonale pokazuje problem, z który grozi wszystkim obywatelom, nie tylko użytkownikom sieci. Obecnie, jeśli chcemy funkcjonować w społeczeństwie, to musimy udostępniać nasze dane w placówkach szkolnych i administracyjnych. Niestety rzadko interesujemy się tym, co później dzieje się z tymi danymi. Gdy dojdzie do ich wycieku, to możemy stać się celami cyberataków, dlatego zawsze powinniśmy korzystać z urządzeń zabezpieczonych za pomocą skutecznego systemu antywirusowego oraz śledzić najnowsze metody oszustw, wykorzystywanych przez cyberprzestępców” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe.