Her yıl yüz milyonlarca dosya, kişisel kayıt ve belge yanlışlıkla çevrimiçi ortamda açığa çıkıyor. Flört uygulamalarının sahipleri, devasa pazarlama veritabanları ve hatta bir casus ajansı bile bilgileri güvenli olmayan veritabanlarında bırakarak internette yayınladı. Ancak bu sızıntıların düzenliliği, onları daha az endişe verici hale getirmiyor; özellikle de veriler binlerce okuldan geliyorsa.
Aktif tetikçi acil durumlarına yönelik güvenlik prosedürleri de dahil olmak üzere ABD okullarından binlerce acil durum planlama belgesi, yanlışlıkla kamuya açıklanan 4 milyondan fazla kayıttan oluşan bir hazinede sızdırıldı. Geçtiğimiz ay güvenlik araştırmacısı Jeremiah Fowler, okul yazılım sağlayıcısı Raptor Technologies’e bağlı 800 gigabaytlık dosya ve günlük keşfetti. Firma, okulların öğrenci katılımını takip etmesine, ziyaretçileri izlemesine ve acil durumları yönetmesine olanak tanıyan bir yazılım sağlıyor. Raptor, yazılımının ABD’deki 5.300’den fazla okul bölgesi ve dünya çapında 60.000 okul tarafından kullanıldığını söylüyor.
Son derece hassas belge önbelleği, öğrencilerin izlemesi gereken rotaları ve acil durumlarda nerede toplanmaları gerektiğini gösteren haritaların yer aldığı tahliye planlarını içeriyordu; kampüste tehdit oluşturan öğrencilerin ayrıntıları; tıbbi kayıtlar; yasaklama emirleri ve aile istismarına ilişkin mahkeme belgeleri; ve personelin, öğrencilerin ve ebeveynlerinin veya vasilerinin adları ve kimlik numaraları. Güvenlik firması vpnMentor için bulguları ayrıntılı olarak açıklayan Fowler, “Bu, bulduğum en çeşitli belge grubu” diyor.
Fowler, ifşa edilen kayıtların üç güvenli olmayan web paketinde göründüğünü (olayın bir hack olmadığını) ve 2022 ile 2023 tarihli olduğunu söylüyor. Kayıtların çoğunun ABD merkezli okullardan olduğu ortaya çıktı. Güvenlik araştırmacısı sızdırılan dosyaları Aralık ayında Raptor Technologies’e bildirdi ve firma bunları hızla erişilemez hale getirdi.
Fowler, ifşa edilen belgelerin yaklaşık yüzde 75’inin tehdit raporları, güvenlik tatbikatlarının ayrıntıları veya acil durum prosedürleriyle ilgili göründüğünü söylüyor. Bu dosyalar, okulların belirli acil durumlarda nasıl tepki vereceğini ve test etkinliklerinin sonuçlarını belgelemektedir. Dosyalara kötü niyetli bir kişinin eriştiğini gösteren hiçbir kanıt yok; ancak içerdikleri ayrıntılar, bir okula saldırmayı planlayan biri tarafından potansiyel olarak kullanılabilir.
25’ten fazla sayfalık bir “acil durum müdahale planı”, yangın tatbikatından tahliye ve şiddetli fırtına planlarından tecrit ve “yerinde barınma” prosedürlerine kadar her şeyi listeliyor. 20’den fazla senaryo arasında bomba tehditleri, rehin alma durumları, okulda veya yakınında silah sesleri, öğrencinin elinde silah olup olmadığı ve adam kaçırma olayları yer alıyor. Dosyalarda bazı okulların kat planları, öğrencilerin ve personelin kullanması gereken tahliye yollarını gösteren, her sınıftan oklar içeriyor. Bir okulun haritası, ilkokul ve ortaokul öğrencilerinin okul dışında nerede toplanması gerektiğini ve aileler için bir “yeniden birleşme” alanını gösteriyor. Bir diğeri ise “komuta merkezinin” yerini gösteriyor. Başka bir belgede “gizlilik” seviyesinin yalnızca okul personeli ve kamu yetkililerinin kullanımına yönelik olduğu belirtiliyor.
“Aktif nişancı / tecrit tatbikatı” başlıklı bir okul belgesi, personelin bir tatbikattaki okulun performansını analiz etmek için doldurması gereken 11 sorudan oluşan bir kontrol listesi sağlar. Buna “Kırmızı Kod” duyurusunu duyup duymadıkları ve kontrol ettiklerinde pencere ve kapıların kilitli olup olmadığı da dahildir. Tatbikat belgesindeki sorular arasında yakındaki odalardan gürültü veya konuşma sesinin duyup duyulmadığı ve kapı kilitliyken herhangi birinin kapıyı açıp açmadığı da yer alıyor.