德克萨斯州学校安全软件数据泄露危及学生安全

X0_0X2024-01-13 14:58:46
此次数据泄露是由于德克萨斯州学校安全软件提供商Raptor Technologies的数据库配置错误造成的。


涉及德克萨斯州学校安全软件提供商Raptor Technologies的数据泄露事件暴露了数百万条有关学生、家长和教职员工的敏感记录。


网络安全研究员Jeremiah Fowler发现的这次泄露暴露了个人信息、事件响应计划、基础设施挑战以及有关高危学生的文件,引发了对学生隐私和学校安全的担忧。这次泄露暴露了大约4024001条记录,使学生面临众多安全风险。


福勒说:“我审查了有限的文件和日志记录样本,其中包含与学生、教师、家长以及学校安全计划或程序相关的敏感信息。”


我立即发送了一份负责任的披露通知,并收到确认,这些数据确实属于Raptor Technologies,”Fowler在VPNMentor于2024年1月11日发布的博客文章中写道。


部分暴露的记录包括学校事件响应计划、教室布局、基础设施挑战、背景调查系统详细信息和有风险的学生文件,包括他们的“个人和医疗状况、他们可能遇到的任何心理健康或法律问题,以及他们对学校构成威胁。”


此外,它还包含法院下令的保护令、离婚令和每月演习。它还包括扫描的PDF文件和法律文件的图像。总之,福勒成功地分析了大量记录,包括以下内容:


  • 测试文件:1326个文件
  • 测试日志:332409/23GB
  • 暂存文档:7900个文件
  • 暂存日志:1002394/25GB
  • 生产文件:81511个文件
  • 生产日志:2598461 blob/779GB



Raptor Technologies保护了数据库并限制了公众访问。暴露和潜在恶意访问的持续时间仍然未知,因为只有内部取证审计才能识别潜在威胁。


值得注意的是,Raptor Technologies为学校提供了访客管理系统,用于跟踪和筛选访客、志愿者和承包商,确保他们不在性犯罪者登记册或观察名单上。该软件被全球60000多所学校使用,其中包括美国5300个学区。该风险可能会影响近40%的美国学校。


未受保护的数据库暴露了敏感数据,例如学校地图、摄像头位置、安全漏洞、集合点和应急响应计划。如果网络犯罪分子访问这些内容,可能会造成现实世界的后果。法庭记录包含限制令、刑事犯罪、离婚协议和个人信息,增加了身份盗窃或金融犯罪的风险。


此外,健康记录泄露了学生的健康表格,损害了隐私和机密性。事故报告和安全演习总结报告包含学生的姓名和详细的危险行为,这可能会威胁到他们以后的生活。学校地图标明了教室位置、房间号、疏散路线和摄像头位置,带来了额外的隐私风险。


福勒建议学校和数据管理公司采取积极主动的网络安全措施,包括限制访问、定期评估和加密敏感信息。

软件安全隐私泄露
本作品采用《CC 协议》,转载必须注明作者和本文链接
大数据安全研究
2021-09-26 08:14:19
随着人工智能、云计算、移动互联网和物联网等技术的融合发展,传统的基于边界安全域和基于已知特征库的网络安全防护方式已经无法有效应对大数据环境下新的安全威胁。
绿盟科技云安全纲领
2022-10-09 16:47:21
绿盟科技自2012年开始研究并打造云计算安全解决方案,并于2022年正式推出“T-ONE云化战略”,将安全产品与方案全面向云转型,并构建开放的云化生态。考虑到各类数据上云趋势明显,云上的数据安全应特别得到重视。每年因错误配置、漏洞利用等问题进而发生的恶意代码执行事件与日俱增,恶意样本总数相比2020年同期数量上涨10%,因而云计算租户需要特别注意这些安全风险。
依赖杀毒的老一套能否真的防住日益进化的攻击手段?PC端隐私安全保护该从何下手?
各经济体更加重视数据竞争力,纷纷制定出台数据战略,宣誓数据安全和主权。因此,欧盟认为必须建立欧洲数据主权。近年来,我国陆续发布了一系列数据及其安全相关的法律法规和标准规范,数据资产价值得到确认。2020年6月,12部委联合发布《网络安全审查办法》,推动建立国家网络安全审查工作机制。
在5月份,华为发布了华为应用市场2022年第一季度安全隐私报告。因涉嫌“恶意广告”、“隐私不合规”等原因,累计21697款应用在华为应用市场的检测中被下架处理。
走进ChatGPT下的网络安全
数据安全探索者之路
2021-07-04 15:02:02
数据是新时代的生产要素;保护数据原生价值,实现数据的所有权保护、交换与管理;完善数据在收集、使用、存储等阶段的全生命周期安全;研究分析复杂物理数据交互场景中的数据安全攻防机理;在保护数据所有权的前提下实现高价值数据的安全交易;安全技术标准的推广与法律法规的完善。
2022年1月,国务院印发《“十四五”数字经济发展规划》(以下简称“规划”),明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。规划指出,数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。
国家工业信息安全发展研究中心作为国家级信息安全研究和推进机构,联合华为技术有限公司共同研究编制了《数据安全白皮书》,全面分析了我国数据安全产业基础、防护关键技术、法律法规体系现状,从提升数据安全产业基础能力、加快研究和应用数据安全防护技术、强化法律法规在数据安全主权的支撑保障作用等三方面展望数据安全发展未来,提出了数据安全发展倡议,为行业发展提供借鉴和参考,积极推动我国数据治理工作有序开展。
近日,“发原图或暴露隐私”话题冲上微博热搜。一时间,保护个人隐私信息再次得到广泛关注。潘博文提醒,“所以在拍摄过程中去掉地理位置信息确实能够提高隐私安全性,但也不能一劳永逸。”鉴于工作中常见的情况,潘博文提示,即使互联网平台遵守合规要求,重视用户的隐私安全和数据安全,用户因为自身原因导致的个人隐私泄露风险问题依然会存在。
X0_0X
暂无描述