K12.com 暴露了七百万条学生个人信息记录

2019-07-20 08:20:30

在线教育平台 K12.com 本周无意中暴露了近 700 万学生的个人信息。暴露的数据库包含全名,电子邮件地址,出生日期和性别身份,以及学生就读的学校,同时还可访问其帐户的身份验证密钥和其他内部数据

个人信息  

来源: GDCA数安时代

据 Comparitech 的安全研究人员称,在线教育平台 K12.com 本周无意中暴露了近 700 万学生的个人信息。暴露的数据库包含全名,电子邮件地址,出生日期和性别身份,以及学生就读的学校,同时还可访问其帐户的身份验证密钥和其他内部数据。

这些信息在线提供了一个多星期,目前还不清楚数据库是否被恶意行为者访问或者获取。据发现数据暴露的研究人员称,该问题影响了K12.com的A+nyWhere学习系统(A + LS),该系统被美国1100多个学区使用。

数据库配置错误可能是导致它可以在BinaryEdge和Shodan上公开访问和发现的原因,这两个搜索引擎专门为面向公众的数据库编制索引。 6月25日发现的曝光首次发生在6月23日,直到7月1日才得以修复。

错误配置的数据库暴露公司收集和持有的大量个人信息的事件近年来变得非常普遍。就在最近几个月,面向公众的数据库暴露了大量Instagram知名人士账号的联系信息、康复病人的医疗记录、AMC Networks高级服务的订户等等。在其中一个例子中竟然还发现了包含美国8000多万家庭敏感信息的数据库。在这种情况下,确实很难确定是否有人恶意访问了这些信息。

源头杜绝隐私泄露

1.不下载不明应用

官方提供的软件大都经过了严格的测试,安全性比较有保障,可以最大程度减少应用被篡改或植入木马程序的可能性。通常正轨的APP都经过了代码签名证书,下载时可以查看到开发者的信息,如没有部署代码签名证书的APP建议不要下载使用。

2.不连陌生WiFi

在陌生环境中,要保持警惕心理。不要接入安全性未知或陌生的WiFi网络,避免落入不法分子的陷阱。

3.严格管理权限

应用安装后,对应用权限的申请不能全部同意,尤其是涉及定位、短信、通讯录等敏感权限。对可能泄露个人信息的权限,尽量拒绝,不可只图一时之便。对于申请权限过多或申请权限与其用途不符的,给予重点关注。

4.留意账号授权

使用社交媒体账号登录第三方网站时不贪图方便,仔细查看其申请的权限。可以取消勾选的,尽量取消。同时,要养成检查的习惯,时常关注授权情况,对于长期不用的第三方网站,及时取消账号授权。

企业如何避免用户信息被泄露

1、 企业应部署SSL证书。为了防止用户误入假冒网站/钓鱼网站的陷阱,企业网站应部署数安时代SSL证书或更高级别的EV SSL证书,将企业网站和钓鱼网站区分开,网址栏展示HTTPS、安全锁以及证书中的网站真实身份信息,让用户拥有足够的信息判断网站真实性,对比之下,假冒网站立显原形。

2、 企业应为软件进行代码签名证书。合法APP应使用代码签名证书签名软件程序,签名后的软件,可展示软件开发者的真实身份,同时证明软件在传输过程中没有被非法篡改或植入病毒木马,用户可通过证书,判断软件来源的真实性及软件程序的完整性。

3、企业应为员工通讯邮箱部署电子邮件证书,为保护客户的利益,维护客户数据安全。邮件用户使用邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。

二号老头 - 2019-07-20 11:26:33

个人信息  

302019-07
多家猎头员工因涉嫌侵犯公民个人信息被捕,涉案信息2亿余条am

多家猎头员工因涉嫌侵犯公民个人信息被捕,涉案信息2亿余条...

222019-07
大量泄露低价倒卖“窥探”隐私 简历安全如何保护?am

简历屡遭大规模泄露、找工作落入招聘陷阱、修改简历却成“离职预警”……记者调查发现,公民重要的个人信息——简历当前存在不少安全隐患...

182019-07
要堵住网络用户信息泄露的“黑洞”am

大数据时代,互联网为人们带来便利的同时,也给网民隐私保护带来威胁。随着各类用户信息泄露事件的发生,社会越来越关注网络信息安全问题...

172019-07
美国最严厉隐私法案即将生效,消费者有权不出售或分享个人信息am

如果客户要求经销商删除他们的个人数据,所有能访问这些数据的各方也必须删除它...

172019-07
40款APP收集使用个人信息存在问题被点名, 富途、度小满、趣店等在列am

关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知...

172019-07
收集使用个人信息 宜人贷、拉卡拉App等遭点名整改am

在使用这些App方便个人生活的同时,你是否注意到,它们可能已经涉及违规收集使用你的个人信息...

142019-07
黑客泄露德国数百名政客个人数据 包括总理默克尔am

黑客日前泄露了包括总理默克尔在内的数百名德国政客的机密数据...

122019-07
德勤:2017亚太区隐私与个人信息保护白皮书am

亚太经合组织《隐私保护框架》提出了共同原则,有助于实现亚太各国家/地区隐私与个人信息保护法规要求的协调一致。虽然该框架目前已包括跨境传输相关原则,但不具有约束力,但该框架...

122019-07
欧盟个人信息保护法律实践-个人数据保护指令am

在欧盟,典型的个人信息保护法律是1995年的《个人数据保护指令》(Data Protection Directive)。该指令源于美国早期的FIPs原则,从法系上讲受德国...

122019-07
个人信息与隐私的关系am

所谓隐私权,通常是指“私生活不受干涉的权利”,“或个人私事未经允许不得公开的权利”。也就是说,每一个人均有“不受旁人干涉搅扰的权利”。隐私权的实质在于,个人自由决定何时、...