此次数据泄露是由于德克萨斯州学校安全软件提供商Raptor Technologies的数据库配置错误造成的。


涉及德克萨斯州学校安全软件提供商Raptor Technologies的数据泄露事件暴露了数百万条有关学生、家长和教职员工的敏感记录。


网络安全研究员Jeremiah Fowler发现的这次泄露暴露了个人信息、事件响应计划、基础设施挑战以及有关高危学生的文件,引发了对学生隐私和学校安全的担忧。这次泄露暴露了大约4024001条记录,使学生面临众多安全风险。


福勒说:“我审查了有限的文件和日志记录样本,其中包含与学生、教师、家长以及学校安全计划或程序相关的敏感信息。”


我立即发送了一份负责任的披露通知,并收到确认,这些数据确实属于Raptor Technologies,”Fowler在VPNMentor于2024年1月11日发布的博客文章中写道。


部分暴露的记录包括学校事件响应计划、教室布局、基础设施挑战、背景调查系统详细信息和有风险的学生文件,包括他们的“个人和医疗状况、他们可能遇到的任何心理健康或法律问题,以及他们对学校构成威胁。”


此外,它还包含法院下令的保护令、离婚令和每月演习。它还包括扫描的PDF文件和法律文件的图像。总之,福勒成功地分析了大量记录,包括以下内容:


  • 测试文件:1326个文件
  • 测试日志:332409/23GB
  • 暂存文档:7900个文件
  • 暂存日志:1002394/25GB
  • 生产文件:81511个文件
  • 生产日志:2598461 blob/779GB



Raptor Technologies保护了数据库并限制了公众访问。暴露和潜在恶意访问的持续时间仍然未知,因为只有内部取证审计才能识别潜在威胁。


值得注意的是,Raptor Technologies为学校提供了访客管理系统,用于跟踪和筛选访客、志愿者和承包商,确保他们不在性犯罪者登记册或观察名单上。该软件被全球60000多所学校使用,其中包括美国5300个学区。该风险可能会影响近40%的美国学校。


未受保护的数据库暴露了敏感数据,例如学校地图、摄像头位置、安全漏洞、集合点和应急响应计划。如果网络犯罪分子访问这些内容,可能会造成现实世界的后果。法庭记录包含限制令、刑事犯罪、离婚协议和个人信息,增加了身份盗窃或金融犯罪的风险。


此外,健康记录泄露了学生的健康表格,损害了隐私和机密性。事故报告和安全演习总结报告包含学生的姓名和详细的危险行为,这可能会威胁到他们以后的生活。学校地图标明了教室位置、房间号、疏散路线和摄像头位置,带来了额外的隐私风险。


福勒建议学校和数据管理公司采取积极主动的网络安全措施,包括限制访问、定期评估和加密敏感信息。