Ungeschützte Datenbank macht persönliche Daten von Schülern mit besonderen Bedürfnissen ungeschützt

Tyler Kreuz
Veröffentlicht am: 29. März 2023

Forscher von vpnMentor sind auf eine ungesicherte Datenbank gestoßen, die sensible persönliche Aufzeichnungen von Schülern mit besonderen Bedürfnissen und ihren Eltern enthält.

Der jüngste Bericht hebt hervor, dass diese nicht passwortgeschützte Datenbank rund 50,000 Rechnungen im Zusammenhang mit Encore Support Services enthielt, einem Unternehmen, das Sonderpädagogik und Verhaltensgesundheitsdienste anbietet.

Die exponierte Datenbank enthielt eine Vielzahl persönlich identifizierbarer Informationen über Schüler und Eltern, die öffentliche Schulen in New York besuchten. Mit über 47 Einträgen mit einer Gesamtgröße von fast 000 GB – einige dieser Aufzeichnungen reichen bis ins Jahr 7 zurück – verdeutlicht der Bericht das Risiko für die öffentliche Sicherheit.

Die Datenbank enthielt auch Leistungsarten, die auf die Behinderung eines Kindes hinweisen könnten, sowie Hinweise auf medizinische Versorgung oder Dienstleistungen, die entweder in der Schule oder zu Hause erbracht werden. Dadurch wurden sensible Details wie die Namen und Wohnadressen der Eltern preisgegeben. Die Rechnungen enthielten Lieferanteninformationen, EIN/SSN-Steueridentifikation, Abrechnungsstunden und Servicekosten.

Diese Dienstleistungen wurden auf der Grundlage der spezifischen Bedürfnisse des Studenten erbracht, wobei die Rechnungen ein Feld „Leistungstyp“ enthielten, das möglicherweise den Grund für den Erhalt von Dienstleistungen für besondere Bedürfnisse oder zusätzliche medizinische Daten über die Studenten angeben könnte. Das bedeutet, dass alle Informationen vollständig offengelegt werden.

Obwohl Forscher nicht bestätigen können, ob Cyberkriminelle oder andere unbefugte Personen auf die exponierten Daten zugegriffen haben, birgt ihre öffentliche Verfügbarkeit erhebliche Risiken für die Betroffenen. Cyberkriminelle könnten Eltern oder Erziehungsberechtigte angreifen, um an sensible Informationen zu gelangen, die für Identitätsdiebstahl verwendet werden könnten.

Kriminelle könnten dann verschiedene Social-Engineering-Strategien anwenden, um die Identität der Familie zu bedrohen. Beispielsweise könnten sie vorgeben, ein Mitarbeiter der Encore Support Services oder ein Schulvertreter zu sein. Nachdem sie die Eltern kontaktiert und persönliche Informationen wie die Sozialversicherungsnummer eines Kindes oder Kreditkartendaten für eine angebliche kleine Zahlung angefordert haben, können sie diese Informationen für weiteren Identitätsdiebstahl verwenden und sie möglicherweise stehlen, ohne dass sie es bemerken.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.safetydetectives.com/news/unprotected-database-leaves-personal-details-of-special-needs-students-vulnerable/