在NoamRotem和RanLocar的帶領下，vpnMentro研究團隊剛剛在一個大型Web映射項目中發(fā)現(xiàn)了OneClass數(shù)據(jù)庫中的一個嚴重漏洞。

作為一個遠程教育平臺，其旨在向北美數(shù)以百萬計的學生提供學習指導和幫助材料。

然而新公布的這個漏洞，卻將北美超過100萬學生的私人數(shù)據(jù)，暴露在了公共網(wǎng)絡之中。

【網(wǎng)站截圖】

在學生們因為COVID-19大流行而被迫在家學習的大環(huán)境下，此類教育平臺的重要程度被提升到了新的高度。

據(jù)悉，OneClass成立于2010年，目前總部位于加拿大多倫多。然而對用戶數(shù)據(jù)的保護失當，導致其成為了被黑客盯上的一座金礦。

該公司聲稱幫助60多萬名學生完成了學業(yè)，但實際數(shù)字可能要高得多。vpnMentor預計其錯誤地存儲了超過百萬人的數(shù)據(jù)，其中包括那些已不再是其會員的用戶。

雖然OneClass表示某些學習資料是免費的，但最有價值的那些，仍需要成為付費會員才能獲得。

在事件曝光后，vpnMentor立即與數(shù)據(jù)庫所有者OneClass取得了聯(lián)系。

作為響應，后者立即對數(shù)據(jù)庫施加了保護，但聲稱出現(xiàn)問題的只是測試用的服務器，辯稱存儲在上面的任何數(shù)據(jù)都與真實用戶無關。

然而在調(diào)查區(qū)間，vpnMentor還是借助公開可用的信息，對數(shù)據(jù)庫中的一小部分記錄進行了驗證。

通過比對從眾多記錄中獲取的PII數(shù)據(jù)，可知OneClass數(shù)據(jù)庫中的資料，確實與各平臺上的講師、以及其它用戶的社交資料匹配一致。

基于此，vpnMentor再次聯(lián)系OneClass以溝通相關證據(jù)。遺憾的是，該公司沒有給出進一步的答復。

OneClass在官網(wǎng)上寫道，其已采取必要的物理、技術和管理措施，以最高敏感度的標準來保障個人數(shù)據(jù)的安全。然而vpnMentor團隊的發(fā)現(xiàn)表明，情況并非如此。

據(jù)悉，該公開數(shù)據(jù)庫基于Elasticsearch框架打造，并托管在一點也不安全的亞馬遜云服務（AWS）上。

其中包含了超過27GB的數(shù)據(jù)，總計890萬條的記錄，曝光了超過100萬OneClass用戶的個人身份信息（PII），比如全名、郵件地址、所在學校、電話號碼、課程注冊詳情等。

鑒于OneClass還提供了面向高中生的資源、并接受13歲以上用戶的注冊，因此其中某些數(shù)據(jù)可能還屬于未成年人。