Veri sızıntısı, Teksas merkezli bir okul güvenliği yazılımı sağlayıcısı olan Raptor Technologies’deki yanlış yapılandırılmış bir veritabanı nedeniyle meydana geldi.
Teksas merkezli bir okul güvenliği yazılımı sağlayıcısı olan Raptor Technologies’in dahil olduğu bir veri sızıntısı, öğrenciler, ebeveynler ve personel hakkındaki milyonlarca hassas kaydı açığa çıkardı.
Siber güvenlik araştırmacısı Jeremiah Fowler tarafından keşfedilen sızıntı, kişisel bilgileri, olay müdahale planlarını, altyapı zorluklarını ve risk altındaki öğrencilerle ilgili belgeleri açığa çıkararak öğrencilerin mahremiyeti ve okul güvenliğiyle ilgili endişeleri artırdı. Sızıntı yaklaşık 4.024.001 kaydı açığa çıkardı ve öğrencileri çok sayıda güvenlik riskine maruz bıraktı.
Fowler, “Öğrenciler, öğretmenler, veliler ve okul güvenlik planları veya prosedürleriyle ilgili hassas bilgiler içeren sınırlı sayıda belge ve kayıt kaydını inceledim” dedi.
Derhal sorumlu bir açıklama bildirimi gönderdim ve verilerin gerçekten de Raptor Technologies’e ait olduğuna dair onay aldım,” diye yazdı Fowler, VPNMentor tarafından 11 Ocak 2024’te yayınlanan blog yazısında.
Açığa çıkan kayıtların bir kısmı okul olaylarına müdahale planları, sınıf düzenleri, altyapı zorlukları, özgeçmiş kontrol sistemi ayrıntıları ve risk altındaki öğrenci belgeleriydi; bunların arasında “kişisel ve tıbbi durumları, yaşıyor olabilecekleri zihinsel sağlık veya yasal sorunlar ve okula yönelik tehditler oluşturuyorlar.
Ayrıca mahkeme kararıyla koruma kararları, boşanma kararları ve aylık tatbikatlar da yer alıyordu. Ayrıca taranmış PDF dosyalarını ve yasal belgelerin resimlerini de içeriyordu. Özetle Fawler, aşağıdakileri içeren bir hazine dolusu kayıtları analiz etmeyi başardı:
- Test belgeleri: 1.326 dosya
- Test günlükleri: 332.409 / 23 GB
- Aşama belgeleri: 7.900 dosya
- Aşama günlükleri: 1.002.394 / 25 GB
- Üretim belgeleri: 81.511 dosya
- Üretim günlükleri: 2.598.461 blob / 779 GB
Raptor Technologies veritabanını güvence altına aldı ve genel erişimi kısıtladı. Potansiyel tehditleri yalnızca dahili bir adli tıp denetimi tanımlayabileceğinden, açığa çıkma süresi ve potansiyel olarak kötü amaçlı erişimin süresi bilinmemektedir.
Raptor Technologies’in, okullara ziyaretçileri, gönüllüleri ve yüklenicileri takip edip tarayacak ve bu kişilerin cinsel suçlu kayıtlarında veya izleme listelerinde yer almamalarını sağlayacak bir ziyaretçi yönetim sistemi sağladığını belirtmekte fayda var. Yazılım, 5.300 ABD bölgesi dahil olmak üzere dünya çapında 60.000’den fazla okulda kullanılmaktadır. Maruz kalma potansiyel olarak Amerikan okullarının yaklaşık %40’ını etkileyebilir.
Korumasız veri tabanı, okul haritaları, kamera konumları, güvenlik açıkları, buluşma noktaları ve acil müdahale planları gibi hassas verileri açığa çıkardı. Bunlara siber suçlular tarafından erişilmesi halinde gerçek dünyada sonuçlar doğurabilir. Mahkeme kayıtları, kimlik hırsızlığı veya mali suç riskini artıran uzaklaştırma emirleri, suçlar, boşanma anlaşmaları ve kişisel bilgiler içeriyordu.
Üstelik sağlık kayıtlarında mahremiyet ve mahremiyetten taviz veren öğrenci sağlık formları ortaya çıktı. Olay raporları ve güvenlik tatbikatı özet raporları, öğrencilerin isimlerini ve hayatlarının ilerleyen dönemlerinde sağlıklarını tehdit edebilecek ayrıntılı risk altındaki davranışlarını içeriyordu. Okul haritaları sınıf konumlarını, oda numaralarını, tahliye yollarını ve kamera konumlarını tanımlayarak ek gizlilik riskleri oluşturuyordu.
Fowler, okullar ve veri yönetimi şirketleri için erişimin kısıtlanması, düzenli değerlendirmelerin yapılması ve hassas bilgilerin şifrelenmesi de dahil olmak üzere proaktif siber güvenlik önlemleri önermektedir.
İLGİLİ MAKALELER
- MOVEit Hack’i ABD’deki 900 Okulu Etkiledi ve Öğrenci Verileri Açığa Çıktı
- Okullar Fidye Yazılımı Çetelerinin En Çok Hedef Aldığı Sektördür
- Conti fidye yazılımı çetesi ABD okul bölgesinden 40 milyon dolar talep etti
- Veri Sızıntısı Kylie Jenner’ın da Dahil Olduğu 1,5 Milyar Emlak Kaydını Ortaya Çıkardı
- Microsoft Power uygulamalarının yanlış yapılandırılması nedeniyle 38 milyon kayıt açığa çıktı