Paume faciale : McGraw Hill est l’un des «trois grands» éditeurs éducatifs américains, avec une entreprise technologique en pleine croissance qui vend des services pour héberger et animer des cours en ligne. Comme vpnMentor l’a découvert, cependant, McGraw Hill n’a pas reçu la note de passage en matière de sécurité et de pratiques d’opsec décentes.

Les chercheurs de vpnMentor ont trouvé deux compartiments Amazon Web Services (AWS) S3 remplis de données personnelles et sensibles, confirmant plus tard qu’il s’agissait de fichiers appartenant à la plate-forme éducative en ligne de McGraw Hill. Les buckets contenaient plus de 22 téraoctets de données, avec plus de 117 millions de fichiers accessibles au public pour quiconque savait où chercher.

Chercheurs vpnMentor m’a dit ils ont vérifié un « échantillon limité » pour confirmer que la violation de données était légitime, et ils ont vu que les dossiers en ligne contenaient des informations très sensibles telles que les noms des étudiants, les adresses e-mail, les rapports de performance et les notes. Les deux seaux contenaient également les programmes des enseignants et le matériel de lecture des cours, et même des éléments très sensibles appartenant à McGraw Hill lui-même, notamment des clés numériques privées et du code source.

Tout bien considéré, vpnMentor estime que les deux compartiments S3 non protégés – l’un avec 12 To de données, l’autre avec 10 To – divulguaient des informations sur plus de 100 000 étudiants d’écoles et d’universités américaines et canadiennes. Comme l’estimation est basée sur l’échantillon limité analysé par les chercheurs, l’ampleur réelle de la violation de données pourrait être beaucoup, beaucoup plus grande.

2022 12 22 Image 19

Publicité

Le pire aspect de l’incident est peut-être la façon dont McGraw Hill et les responsables de la sécurité ont réagi aux tentatives de communication de vpnMentor.

Les chercheurs ont découvert les seaux S3 accessibles au public le 12 juin 2022 et ils ont tenté de contacter l’entreprise le lendemain. Il y a eu d’autres tentatives de contact dans les semaines suivantes, et les chercheurs ont également tenté de joindre des responsables de l’US-CERT et d’Amazon.

La première réponse de McGraw Hill est arrivée le 9 juillet 2022, près d’un mois après le premier message, mais il a fallu encore 10 jours pour obtenir des résultats.

Selon le directeur principal de la cybersécurité de McGraw Hill, les fichiers sensibles ont été retirés des seaux publics le 20 juillet 2022, près de deux mois après la découverte de l’incident. vpnMentor en a été informé le 21 septembre.

Les analystes de vpnMentor ont également déclaré qu’ils n’étaient pas en mesure de déterminer si un acteur malveillant avait trouvé les compartiments non sécurisés avant que McGraw Hill ne supprime les fichiers sensibles. Considérant que les fichiers auraient pu être consultés dès 2015, et que les compartiments S3 ouverts sont un problème de sécurité très connu dans l’industrie, il y a très peu de doute sur une militarisation potentielle des données compromises contre les étudiants, les enseignants, les établissements d’enseignement et McGraw Hill lui-même.

Rate this post
Publicité
Article précédentTenchi Muyo ! Le projet GXP obtient un nouvel anime Paradise Shidō-hen – News 24
Article suivantLastPass admet une grave violation de données et des coffres-forts de mots de passe cryptés compromis
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici